OpenForum RSS: Squid + win2008r2 kerberos: suqid_kerb_auth не видит keytab https://www.opennet.ru/openforum/vsluhforumID1/95052.html Пытаюсь настроить в squid авторизацию через Kerberos. Контроллер домена win2008r2, уровень домена win2008r2.<br><br>Ubuntu 12.04<br>Squid 3.1<br>AppArmor выключен<br><br>Получаю keytab на контроллере домена:<br><br>[code]<br>ktpass -princ HTTP/webproxy.domain.ru@DOMAIN.RU -mapuser webproxy_auth@DOMAIN.RU -crypto ALL -pass "******" -ptype KRB5_NT_PRINCIPAL -out HTTP_webproxy.domain.ru.keytab<br>[/code]<br><br>Копирую на сервер, меняю владельца на proxy:proxy и права на 640, проверяю:<br><br>[code]<br>kinit -V -k -t /etc/squid3/HTTP_webproxy.keytab HTTP/webproxy.domain.ru<br>...<br>Authenticated to Kerberos v5<br>[/code]<br><br>/etc/krb5.conf:<br><br>[code]<br>[libdefaults]<br> default_realm = DOMAIN.RU<br> dns_lookup_kdc = yes<br> dns_lookup_realm = yes<br> default_keytab_name = HTTP_webproxy.domain.ru.keytab<br> kdc_timesync = 1<br> ticket_lifetime = 24h<br> forwardable = true<br> proxiable = true<br><br> # for win2008<br> default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5<br> Squid + win2008r2 kerberos: suqid_kerb_auth не видит keytab (selivan) https://www.opennet.ru/openforum/vsluhforumID1/95052.html#4 Tue, 01 Oct 2013 04:56:24 GMT Заработало вот так:<br><br>/etc/default/squid3:<br><br>KRB5_KTNAME=/etc/squid3/HTTP_webproxy.keytab<br>export KRB5_KTNAME<br><br><br><br> Squid + win2008r2 kerberos: suqid_kerb_auth не видит keytab (mcshel) https://www.opennet.ru/openforum/vsluhforumID1/95052.html#3 Sun, 29 Sep 2013 09:04:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt; хорошо, но иногда она просто не нужна, например в моем случаи <br>&gt;&gt; хватало прозрачной авторизации для SQUID.<br>&gt;&gt; Для работы с билетами использовал msktutil, лично мне вот эта статья очень <br>&gt;&gt; помогла: <br>&gt;&gt; http://www.howtoforge.com/debian-squeeze-squid-kerberos-ldap-authentication-active-directory-integration-and-cyfin-reporter <br>&gt;&gt; Посмотрите статью, возможно в хелпере /usr/lib/squid/squid_kerb_auth -r -i -s HTTP/[fqdb-имя <br>&gt;&gt; сервера] <br>&gt; То есть они в /etc/default/squid3 ещё сделали export KRB5_KTNAME? Попробую. mskutil, судя <br>&gt; по всему, удобнее winbind, но последний из коробки ставится, ничего левого <br>&gt; качать/собирать не надо.<br><br>Да в default. mskutil это аналог ktpass. Еще если не получиться попробуйте в хелпере сделать такие параметры /usr/lib/squid/squid_kerb_auth -r -i -s HTTP/[fqdb-имя сервера] <br><br> Squid + win2008r2 kerberos: suqid_kerb_auth не видит keytab (selivan) https://www.opennet.ru/openforum/vsluhforumID1/95052.html#2 Sun, 29 Sep 2013 07:26:33 GMT &gt; Я использовал kerb, чтобы уйти от ввода linux в домен. Samba работает <br>&gt; хорошо, но иногда она просто не нужна, например в моем случаи <br>&gt; хватало прозрачной авторизации для SQUID.<br>&gt; Для работы с билетами использовал msktutil, лично мне вот эта статья очень <br>&gt; помогла: <br>&gt; http://www.howtoforge.com/debian-squeeze-squid-kerberos-ldap-authentication-active-directory-integration-and-cyfin-reporter <br>&gt; Посмотрите статью, возможно в хелпере /usr/lib/squid/squid_kerb_auth -r -i -s HTTP/[fqdb-имя <br>&gt; сервера] <br><br>То есть они в /etc/default/squid3 ещё сделали export KRB5_KTNAME? Попробую. mskutil, судя по всему, удобнее winbind, но последний из коробки ставится, ничего левого качать/собирать не надо.<br> Squid + win2008r2 kerberos: suqid_kerb_auth не видит keytab (mcshel) https://www.opennet.ru/openforum/vsluhforumID1/95052.html#1 Sun, 29 Sep 2013 05:15:54 GMT &gt;[оверквотинг удален]<br>&gt; code may provide more information.<br>&gt; authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned <br>&gt; 'BH gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide <br>&gt; more information.<br>&gt; [/code] <br>&gt; Делаю [code]su proxy -c 'kinit -V -k -t /etc/squid3/HTTP_webproxy.keytab HTTP/webproxy.domain.ru'[/code] <br>&gt; - всё начинает работать.<br>&gt; Где я ещё, мать его @#$%^&$#, не указал ему откуда брать keytab? <br>&gt; 15 часов на работе просидел, пока догадался от имени пользователя proxy <br>&gt; klist запустить.<br><br>Я использовал kerb, чтобы уйти от ввода linux в домен. Samba работает хорошо, но иногда она просто не нужна, например в моем случаи хватало прозрачной авторизации для SQUID.<br><br>Для работы с билетами использовал msktutil, лично мне вот эта статья очень помогла:<br>http://www.howtoforge.com/debian-squeeze-squid-kerberos-ldap-authentication-active-directory-integration-and-cyfin-reporter<br><br><br>Посмотрите статью, возможно в хелпере /usr/lib/squid/s