Задать вопрос
  • Почему Squid не аутентифицируется через Actice Directory?

    @gadzhikuliev Автор вопроса
    Squid принимает его через переменную KRB5_KEYTAB, которую я занес в /etc/sysconfig/squid:

    Да, /etc/sysconfig/squid:

    KRB5_KTNAME="/etc/squid/squid20018_3.keytab"
    export KRB5_KTNAME


    Принципал записан правильно?


    slot KVNO Principal
    ---- ---- ---------------------------------------------------------------------
    1 3 HTTP/vs-otr-squid02@DOMAIN.RU


    что говорит подобная команда?

    Ничего не отвечает. Просто вводится, и потом можно с помощью klist посмотреть полученный билет.

    [root@vs-otr-squid02 ~]# kinit -k -t /etc/squid/squid20018_3.keytab HTTP/vs-otr-squid02@DOMAIN.RU
    [root@vs-otr-squid02 ~]# klist
    Ticket cache: KEYRING:persistent:0:0
    Default principal: HTTP/vs-otr-squid02@DOMAIN.RU
    
    Valid starting       Expires              Service principal
    06/27/2018 16:21:46  06/28/2018 02:21:46  krbtgt/DOMAIN.RU@DOMAIN.RU
            renew until 07/04/2018 16:21:46
    [root@vs-otr-squid02 ~]# kdestroy


    Каким орбразом мапился принципал?

    Вот его уже не я делал. Коллега делает и мне бросает. Использовался также доменный пользователь squid2018 с паролем.

    P.S. Подправил /etc/squid/squid.conf, но пока то же самое: спрашивает имя и пароль, не принимает...

    # Авторизация в Active Directory
    auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/squid20018_3.keytab -s HTTP/vs-otr-squid02@DOMAIN.RU
    
    # external_acl, который отслеживает вхождение в группу
    external_acl_type full ttl=300 negative_ttl=60 children-startup=5 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g "Domain Users" -D DOMAIN.RU