Здравствуйте все.уже вторую неделю бъюсь над решением такой вот связки.
За основу взяты 3 мануала:
http://klaubert.wordpress.com/2008/01/09/squid-kerberos-auth.../
http://serverfault.com/questions/66556/getting-squid-to-auth...
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb...
Система:
CentOS release 5.3 (Final)
pam_krb5-2.2.14-15
krb5-devel-1.6.1-36.el5_5.4
krb5-libs-1.6.1-36.el5_5.4
krb5-workstation-1.6.1-36.el5_5.4
samba 3.3.8
openldap-2.3.43-12.el5
openldap-devel-2.3.43-12.el5
собственно собраный msktutil-0.3.16.7
Создаю кейтаб:
/opt/msktutil/sbin/msktutil -c -b "CN=COMPUTERS" -s HTTP/suidsrv.test.xxx.local -h squidsrv.test.xxx.local -k /etc/squid/HTTP.keytab --computer-name squidsrv --upn HTTP/suidsrv.test.xxx.local --server dc2k8r2.test.xxx.local --verbose --enctypes 28
Смотрю, что получилось:
[root@squidsrv ~]# klist -ke /etc/squid/HTTP.keytab
Keytab name: FILE:/etc/squid/HTTP.keytab
KVNO Principal
---- --------------------------------------------------------------------------
19 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (ArcFour with HMAC/md5)
19 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (AES-128 CTS mode with 96-bit SHA-1 HMAC)
19 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (AES-256 CTS mode with 96-bit SHA-1 HMAC)
19 HOST/SQUIDSRV@TEST.XXX.LOCAL (ArcFour with HMAC/md5)
19 HOST/SQUIDSRV@TEST.XXX.LOCAL (AES-128 CTS mode with 96-bit SHA-1 HMAC)
19 HOST/SQUIDSRV@TEST.XXX.LOCAL (AES-256 CTS mode with 96-bit SHA-1 HMAC)
18 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (DES cbc mode with CRC-32)
18 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (DES cbc mode with RSA-MD5)
18 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (ArcFour with HMAC/md5)
18 HOST/SQUIDSRV@TEST.XXX.LOCAL (DES cbc mode with CRC-32)
18 HOST/SQUIDSRV@TEST.XXX.LOCAL (DES cbc mode with RSA-MD5)
18 HOST/SQUIDSRV@TEST.XXX.LOCAL (ArcFour with HMAC/md5)
пользователи (не обязательно администратор) могут вполне получать билеты:
[root@squidsrv ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@TEST.XXX.LOCAL
Valid starting Expires Service principal
07/21/10 13:40:52 07/21/10 23:38:37 krbtgt/TEST.XXX.LOCAL@TEST.XXX.LOCAL
renew until 07/22/10 13:40:52
07/21/10 15:30:57 07/21/10 23:38:37 ldap/dc2k8r2.test.xxx.local@
renew until 07/22/10 13:40:52
07/21/10 15:30:57 07/21/10 15:32:57 kadmin/changepw@TEST.XXX.LOCAL
renew until 07/21/10 15:32:57
07/21/10 15:32:58 07/21/10 15:34:58 kadmin/changepw@TEST.XXX.LOCAL
renew until 07/21/10 15:34:58
07/21/10 15:36:00 07/21/10 15:38:00 kadmin/changepw@TEST.XXX.LOCAL
renew until 07/21/10 15:38:00
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Проверка тикета:
[root@squidsrv ~]# kinit -V -t /etc/squid/squid.test.xxx.local.keytab -k HTTP/squidsrv.test.xxx.local
kinit(v5): KDC has no support for encryption type while getting initial credentials
пробовал на котроллере домена создавать тикет и переносить его на Линукс:
C:\Users\Administrator>ktpass -princ HTTP/squidsrv.test.xxx.local@TEST.XXX.LOCAL
-mapuser squid@test.xxx.local -crypto rc4-hmac-nt -ptype KRB5_NT_PRINCIPAL -pas
s "password" -out squid.test.xxx.local.keytab
Targeting domain controller: DC2K8R2.test.xxx.local
Using legacy password setting method
Successfully mapped HTTP/squidsrv.test.xxx.local to squid.
Key created.
Output keytab to squid.test.xxx.local.keytab:
Keytab version: 0x502
keysize 78 HTTP/squidsrv.test.xxx.local@TEST.XXX.LOCAL ptype 1 (KRB5_NT_PRINCIPA
L) vno 11 etype 0x17 (RC4-HMAC) keylength 16 (0x24fb991d018d54e9c1419e1fe7b62042
)
Результат тот же.
Подскажите куда копать дальше.
Те, кто уже пробовал сделать такую связку, наверняка знают, что можно привести еще кучу дополнительной отладочной информации. Но не хочу засорять форум. Поэтому предоставлю все, что надо только по запросам.