Понял.
Но также зачастую встречается проблема, что не открывается после перезагрузки. (т.е. нажали запустить - висит, снимаем задачу - снова запускаем, тут же открывается)
Выяснил, что ext_kerberos_ldap_group_acl использует SRV-записи, а не те КД, что прописаны в krb5.conf.
При включеном DC1, сделал запрос _ldap._tcp.dc._msdcs. domain.local - ответ пришёл (оба ip адреса обоих DC). При выключенном DC1, ответа нету.
---
update, вроде все ок:
Проблема осталась..
В логи cache.log, также пишет:
spoiler
kerberos_ldap_group: ERROR: ldap_sasl_interactive_bind_s error: Can't contact LDAP server
kerberos_ldap_group: ERROR: Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server
В логах при выключенном DC1, сыпется вот это:
ldap_sasl_interactive_bind_s error: Can't contact LDAP server
Ну понимаю что не может законнектится, а что может мешать...
В логах при выключенном DC1, сыпется вот это:
ldap_sasl_interactive_bind_s error: Can't contact LDAP server
Ну понимаю что не может законнектится, а что может мешать...
Вырубил DC1, решил проверить получит ли тикет от DC2 - получил. Но все равно не пускает юзеров в инет.
1) Строчка из конфига:
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/prx.domen.local@DOMEN.LOCAL
2) В конфиге krb, указаны оба домена:
[realms]
DOMEN.LOCAL = {
kdc = dc1.domen.local
kdc = dc2.domen.local
admin_server = dc1.domen.local
default_domain = domen.local
}
3) PTR записи на оба домена имеются. Все резолвится.
4) Роль FSMO принадлежит только DC1.
Вырубил DC1, решил проверить получит ли тикет от DC2 - получил. Но все равно не пускает юзеров в инет.
1) Строчка из конфига:
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/prx.domen.local@DOMEN.LOCAL
external_acl_type inet_medium ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g GR1@DOMEN.LOCAL
external_acl_type inet_full ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g GR2@DOMEN.LOCAL
external_acl_type inet_low ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g GR3@DOMEN.LOCAL
2) В конфиге krb, указаны оба домена:
[realms]
DOMEN.LOCAL = {
kdc = dc1.domen.local
kdc = dc2.domen.local
admin_server = dc1.domen.local
default_domain = domen.local
}
3) PTR записи на оба домена имеются. Все резолвится.
4) Роль FSMO принадлежит только DC1.
Лицензии не заняты и свободных много.
При открытии 1С (толстый клиент) - высвечивается окно о том, что лицензия не обнаружена.
Лицензии выдает 1С-сервер, все лицензии программные.
Все стоит на виртуальной машине, конфигурацию ВМ не меняли.
Думаю переактивировать всё.
Но также зачастую встречается проблема, что не открывается после перезагрузки. (т.е. нажали запустить - висит, снимаем задачу - снова запускаем, тут же открывается)