https://www.opennet.me/openforum/vsluhforumID12/6741.html настраиваю связку Squid AD авторизация через протокол kerberos. На данный момент работаю с NTLM. Но хочу попробовать c kerberos так как есть проблемы с NTLM. <br>AD 2008 - ABC.LOCAL<br>Squid 2.7 stable 9 <br>Пробовал вот это <br>ktpass -princ HTTP/proxy.adc.local@ABC.LOCAL -mapuser admin@abc -crypto rc4-hmac-nt pass squid-pass -ptype KRB5_NT_SRV_HST -out proxy.abc.local.keytab<br>Дает вот это <br>Targeting domain controller: dc1.abc.local<br>Using legacy password setting method<br>Successfully mapped HTTP/proxy.abc.local to admin.<br>WARNING: pType and account type do not match. This might cause problems.<br>Key created.<br>Output keytab to proxy.abc.local.keytab:<br>Keytab version: 0x502<br>keysize 73 HTTP/proxy.abc.local@ABC.LOCAL ptype 3 (KRB5_NT_SRV_HST<br>9 etype 0x17 (RC4-HMAC) keylength 16 (0x7835c079c3561c28e66259ca2b9a8b98)<br><br>Копирую этот proxy.abc.local.keytab в /etc/squid<br><br>далее ввожу команду <br>kinit -V -k -t proxy.abc.local.keytab.pdc HTTP/proxy.abc.local<br>Using default cache: /tmp/krb5cc_0<br>Using principal: HTTP/proxy.ab https://www.opennet.me/openforum/vsluhforumID12/6741.html#12 Fri, 04 Nov 2011 09:15:24 GMT &gt; при перезапуске сквида, командой klist что должно показывать может в этом проблема <br>&gt; ??<br><br>kinit & klist ни как не связаны с squid-om.<br>Данные команды нужны Вам только для проверки работы ключа.<br> https://www.opennet.me/openforum/vsluhforumID12/6741.html#11 Fri, 04 Nov 2011 04:11:59 GMT при перезапуске сквида, командой klist что должно показывать может в этом проблема ?? <br> https://www.opennet.me/openforum/vsluhforumID12/6741.html#10 Thu, 03 Nov 2011 09:48:13 GMT &gt;[оверквотинг удален]<br>&gt; потому рекомендую добавить в исполняемый файл запуска это: <br>&gt; KRB5_KTNAME=/dir/to/HTTP.keytab <br>&gt; export KRB5_KTNAME <br>&gt; Второй момент который нужно учесть, это синхронизация времени. Время между серверами прокси, <br>&gt; АД и пользователем, не должно отличатся более чем 5 минут.<br>&gt; В браузере пользователя указываться не IP-proxy а FQDN, кроме того kerberos авторизация <br>&gt; работает в explorer-версиях начиная с 7-й. На 6-й и ниже не <br>&gt; работает!!!<br>&gt; auth_param negotiate program /dir/to/squid/squid_kerb_auth -d -s HTTP//proxy.babilon.local@BABILON.LOCAL <br>&gt; Надеюсь у Вас все получиться!<br><br>Ок. Все равно спасибо вам. буду смотреть дальше надеюсь когда нибудь получиться настроить эту связку )) <br><br><br> https://www.opennet.me/openforum/vsluhforumID12/6741.html#9 Thu, 03 Nov 2011 07:16:33 GMT Вы на верном пути реализации Kerberos авторизации =)<br><br>Будет полезным прочесть это "http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos", если не читали.<br><br>Я не знаю откуда вы взяли и собрали из исходников SQUID, а потому рекомендую добавить в исполняемый файл запуска это:<br>KRB5_KTNAME=/dir/to/HTTP.keytab<br>export KRB5_KTNAME<br><br>Второй момент который нужно учесть, это синхронизация времени. Время между серверами прокси, АД и пользователем, не должно отличатся более чем 5 минут.<br><br>В браузере пользователя указываться не IP-proxy а FQDN, кроме того kerberos авторизация работает в explorer-версиях начиная с 7-й. На 6-й и ниже не работает!!!<br><br>auth_param negotiate program /dir/to/squid/squid_kerb_auth -d -s HTTP//proxy.babilon.local@BABILON.LOCAL<br><br>Надеюсь у Вас все получиться!<br><br><br><br> https://www.opennet.me/openforum/vsluhforumID12/6741.html#8 Thu, 03 Nov 2011 04:30:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Заранее проверьте, резолвиться ли ваш "babilon.local" на сервере прокси где вы запускаете <br>&gt;&gt; kinit.<br>&gt;&gt; Какая у вас операционная система, где установлен Squid? На разных OS могут <br>&gt;&gt; отличаться ключи запуска, для kinit.<br>&gt; Да я менял. HTTP/proxy.babilon.local тоже не работает. Ошибка <br>&gt; kinit -t /etc/squid/proxy.babilon.local.keytab -k HTTP/proxy.babilon.local <br>&gt; kinit: No key table entry found for HTTP/proxy.babilon.local@BABILON.LOCAL while getting <br>&gt; initial credentials <br>&gt; Gentoo OS, Squid 2.7 установлен на нем.<br>&gt; Домен контроллер windows server 2008 R2 enterprise. AD + DNS <br><br>Проблема решилась, просто при создании Keytaba использовал шифрование AES, теперь <br>proxy ~ # kinit -V -k -t /etc/squid/proxy.babilon.local.keytab HTTP/proxy.babilon.local<br>Using default cache: /tmp/krb5cc_0<br>Using principal: HTTP/proxy.babilon.local@BABILON.LOCAL<br>Using keytab: /etc/squid/proxy.babilon.local.keytab<br>Authenticated to Kerberos v5<br><br>Но теперь не проходит авторизация в cache.log <br>20 https://www.opennet.me/openforum/vsluhforumID12/6741.html#7 Wed, 02 Nov 2011 09:05:27 GMT &gt;[оверквотинг удален]<br>&gt;&gt; kinit: No key table entry found for HTTP/proxy.babilon.local@BABILON.LOCAL while getting <br>&gt;&gt; initial credentials <br>&gt;&gt; Я так понял keytab неправильно создается.<br>&gt; Прошу прощения. Действительно, в строке генерации ключа необходимо указывать один слеш <br>&gt; (ktpass -princ HTTP/domain) <br>&gt; С генерируйте снова keytab, с одним слешем и попробуйте проверить (kinit) <br>&gt; Заранее проверьте, резолвиться ли ваш "babilon.local" на сервере прокси где вы запускаете <br>&gt; kinit.<br>&gt; Какая у вас операционная система, где установлен Squid? На разных OS могут <br>&gt; отличаться ключи запуска, для kinit.<br><br>Да я менял. HTTP/proxy.babilon.local тоже не работает. Ошибка <br>kinit -t /etc/squid/proxy.babilon.local.keytab -k HTTP/proxy.babilon.local <br>kinit: No key table entry found for HTTP/proxy.babilon.local@BABILON.LOCAL while getting initial credentials<br>Gentoo OS, Squid 2.7 установлен на нем.<br>Домен контроллер windows server 2008 R2 enterprise. AD + DNS <br><br><br> https://www.opennet.me/openforum/vsluhforumID12/6741.html#6 Wed, 02 Nov 2011 07:36:25 GMT &gt; Все делаю по примеру. У созданного пользователя логин меняется на HTTP/proxy.babilon.local <br>&gt; Но такая фигня <br>&gt; proxy ~ # kinit -t /etc/squid/proxy.babilon.local.keytab -k HTTP/proxy.babilon.local <br>&gt; kinit: No key table entry found for HTTP/proxy.babilon.local@BABILON.LOCAL while getting <br>&gt; initial credentials <br>&gt; Я так понял keytab неправильно создается.<br><br>Прошу прощения. Действительно, в строке генерации ключа необходимо указывать один слеш (ktpass -princ HTTP/domain)<br><br>С генерируйте снова keytab, с одним слешем и попробуйте проверить (kinit)<br>Заранее проверьте, резолвиться ли ваш "babilon.local" на сервере прокси где вы запускаете kinit.<br><br>Какая у вас операционная система, где установлен Squid? На разных OS могут отличаться ключи запуска, для kinit.<br><br><br><br><br><br> https://www.opennet.me/openforum/vsluhforumID12/6741.html#5 Wed, 02 Nov 2011 05:38:40 GMT Все делаю по примеру. У созданного пользователя логин меняется на HTTP/proxy.babilon.local<br>Но такая фигня <br>proxy ~ # kinit -t /etc/squid/proxy.babilon.local.keytab -k HTTP/proxy.babilon.local<br>kinit: No key table entry found for HTTP/proxy.babilon.local@BABILON.LOCAL while getting initial credentials<br><br>Я так понял keytab неправильно создается. <br> https://www.opennet.me/openforum/vsluhforumID12/6741.html#4 Tue, 01 Nov 2011 17:27:25 GMT &gt; Большое спасибо! Протестирую и сразу отпишусь)) <br><br>C:\Users\Администратор.DC1&gt;ktpass -princ HTTP//proxy.babilon.local@BABILON.LOCAL<br> -mapuser squid_user@BABILON.LOCAL -crypto rc4-hmac-nt -pass "Uzel963" -out c:\k<br>rb5.keytab<br>Targeting domain controller: dc1.babilon.local<br>Using legacy password setting method<br>Successfully mapped HTTP//proxy.babilon.local to squid_user.<br>WARNING: pType and account type do not match. This might cause problems.<br>Key created.<br>Output keytab to c:\krb5.keytab:<br>Keytab version: 0x502<br>keysize 75 HTTP//proxy.babilon.local@BABILON.LOCAL ptype 0 (KRB5_NT_UNKNOWN) vno<br> 3 etype 0x17 (RC4-HMAC) keylength 16 (0xde0e25a54cb8ed52daa6ca713e59b9d4)<br><br><br>Копирую krb5.keytab в /etc/<br><br>-r-xr-xr-x 1 nobody nobody 81 Nov 1 22:16 /etc/krb5.keytab<br><br>proxy ~ # kinit -t /etc/krb5.keytab -k HTTP/proxy.babilon.local<br>kinit: Client 'HTTP/proxy.babilon.local@BABILON.LOCAL' not found in Kerberos database while getting initial credentials<br><br>В примере HTTP//domain.name.loc т.е. два слеша если делаю