<?xml version="1.0" encoding="UTF-8" ?>

<bugzilla version="5.2"
          urlbase="https://bugzilla.altlinux.org/"
          
          maintainer="jenya@basealt.ru"
>

    <bug>
          <bug_id>20413</bug_id>
          
          <creation_ts>2009-06-11 13:37:14 +0400</creation_ts>
          <short_desc>Не работает аутентификация Обычный-Kerberos</short_desc>
          <delta_ts>2009-08-24 20:07:16 +0400</delta_ts>
          <reporter_accessible>1</reporter_accessible>
          <cclist_accessible>1</cclist_accessible>
          <classification_id>4</classification_id>
          <classification>Development</classification>
          <product>Sisyphus</product>
          <component>squid-server</component>
          <version>unstable</version>
          <rep_platform>all</rep_platform>
          <op_sys>Linux</op_sys>
          <bug_status>CLOSED</bug_status>
          <resolution>FIXED</resolution>
          
          
          <bug_file_loc></bug_file_loc>
          <status_whiteboard></status_whiteboard>
          <keywords>distro-blocker</keywords>
          <priority>P3</priority>
          <bug_severity>critical</bug_severity>
          <target_milestone>---</target_milestone>
          
          <blocked>19564</blocked>
    
    <blocked>20396</blocked>
          <everconfirmed>1</everconfirmed>
          <reporter name="Andrey Cherepanov">cas</reporter>
          <assigned_to name="Vitaly Kuznetsov">vitty</assigned_to>
          <cc>aen</cc>
    
    <cc>bga</cc>
    
    <cc>inger</cc>
    
    <cc>ktirf</cc>
    
    <cc>manowar</cc>
    
    <cc>redbaron</cc>
    
    <cc>slazav</cc>
          
          <qa_contact>qa-sisyphus</qa_contact>

      

      

      

          <comment_sort_order>oldest_to_newest</comment_sort_order>  
          <long_desc isprivate="0" >
    <commentid>92919</commentid>
    <comment_count>0</comment_count>
    <who name="Andrey Cherepanov">cas</who>
    <bug_when>2009-06-11 13:37:14 +0400</bug_when>
    <thetext>Cache Access Denied. Тикет получен.</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>93073</commentid>
    <comment_count>1</comment_count>
    <who name="manowar@altlinux.org">manowar</who>
    <bug_when>2009-06-15 12:20:39 +0400</bug_when>
    <thetext>А браузер настроен в соответствие с инструкцией?
(/usr/share/doc/squid-kerberos-ldap-helper-1.1.2/README)</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>93138</commentid>
    <comment_count>2</comment_count>
    <who name="manowar@altlinux.org">manowar</who>
    <bug_when>2009-06-16 17:03:26 +0400</bug_when>
    <thetext>Хотя стой, там же наверное сам сервер KDC не настроен на Squid. Я сделал это однажды, под диктовку sbolhakov@, теперь это нужно как то зафиксировать. Предположительно в alterator-kdc.</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>94076</commentid>
    <comment_count>3</comment_count>
    <who name="manowar@altlinux.org">manowar</who>
    <bug_when>2009-07-02 15:09:20 +0400</bug_when>
    <thetext>Со стороны alterator-squid никаких специальных настроек записывать в /etc/squid/squid.conf не требуется. Указывается только, что нужно использовать хелпер /usr/lib/squid/squid_kerb_auth. Всё остальное уже должно быть настроено &quot;из коробки&quot; (squid =&gt; 3.0-*-alt2).</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>95854</commentid>
    <comment_count>4</comment_count>
    <who name="Andrey Cherepanov">cas</who>
    <bug_when>2009-08-07 16:34:46 +0400</bug_when>
    <thetext>Запрашивает имя пользователя и пароль, хотя тикет получен и запрашивать не должен. Переоткрываю багу.</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>96003</commentid>
    <comment_count>5</comment_count>
    <who name="redbaron">redbaron</who>
    <bug_when>2009-08-10 10:31:38 +0400</bug_when>
    <thetext>Ребят, у меня все работает, правда делал руками без альтератора. Запомнил 2 особенности:

1) добавить в init.d/squid строчку export KRB5_KTNAME=/etc/squid/squid.keytab
2) в squid.keytab положить ключ для принципала HTTP/hostname (HTTP причем с большой буквы, с маленькими у меня по-моему не заработало).</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>96026</commentid>
    <comment_count>6</comment_count>
    <who name="manowar@altlinux.org">manowar</who>
    <bug_when>2009-08-10 12:39:19 +0400</bug_when>
    <thetext>Обычный Kerberos (negotiate) не может запрашивать пароль -- ему нечем! :)
Либо пропускает, либо access denied и всё.</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>96029</commentid>
    <comment_count>7</comment_count>
    <who name="AEN">aen</who>
    <bug_when>2009-08-10 12:51:52 +0400</bug_when>
    <thetext>(В ответ на комментарий №6)
&gt; Обычный Kerberos (negotiate) не может запрашивать пароль -- ему нечем! :)
&gt; Либо пропускает, либо access denied и всё.

Это значит, что не работают настройки alterator-squid, нет?</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>96391</commentid>
    <comment_count>8</comment_count>
    <who name="manowar@altlinux.org">manowar</who>
    <bug_when>2009-08-14 02:00:03 +0400</bug_when>
    <thetext>--- /etc/init.d/squid~	2009-08-05 20:12:02 +0400
+++ /etc/init.d/squid	2009-08-14 01:00:18 +0400
@@ -25,7 +25,7 @@
 SourceIfNotEmpty /etc/sysconfig/network 
 
 # Kerberos keytab file
-KRB5_KTNAME=/etc/squid/squid.keytab
+export KRB5_KTNAME=/etc/squid/squid.keytab
 # Overwrite something
 SourceIfNotEmpty /etc/sysconfig/squid
 
--- /etc/sysconfig/squid~	2009-08-14 01:53:15 +0400
+++ /etc/sysconfig/squid	2009-08-14 01:52:51 +0400
@@ -1,2 +1,2 @@
 # Kerberos keytab file
-#KRB5_KTNAME=%_sysconfig/%name/squid.keytab
+#export KRB5_KTNAME=/etc/squid/squid.keytab</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>96392</commentid>
    <comment_count>9</comment_count>
    <who name="manowar@altlinux.org">manowar</who>
    <bug_when>2009-08-14 02:02:11 +0400</bug_when>
    <thetext>По видимому, без export не работает.</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>96393</commentid>
    <comment_count>10</comment_count>
    <who name="Grigory Batalov">bga</who>
    <bug_when>2009-08-14 02:16:56 +0400</bug_when>
    <thetext>Ты хочешь сказать, что у тебя не работало, ты добавил export, и тогда заработало?
Я проверял именно в такой последовательности и разницы не обнаружил.</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>96725</commentid>
    <comment_count>11</comment_count>
    <who name="manowar@altlinux.org">manowar</who>
    <bug_when>2009-08-18 17:01:36 +0400</bug_when>
    <thetext>Я только что проверил всё ещё раз.

# sed -e &apos;s/squid_kerb_auth/&amp; -d/&apos; -i /etc/squid/squid.conf
# service squid restart
# tail -2 /var/log/squid/cache.log
2009/08/18 16:37:00| squid_kerb_auth: Got &apos;YR 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&apos; from squid (length: 695).
2009/08/18 16:37:00| squid_kerb_auth: gss_acquire_cred() failed: Unspecified GSS failure.  Minor code may provide more information. Permission denied 
# sed -e &apos;s/^KRB5_KTNAME=/export &amp;/&apos; -i /etc/init.d/squid
# service squid restart
# tail -4 /var/log/squid/cache.log
2009/08/18 16:45:18| squid_kerb_auth: Got &apos;YR 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&apos; from squid (length: 695).
2009/08/18 16:45:18| squid_kerb_auth: AF oRQwEqADCgEAoQsGCSqGSIb3EgECAg== arktest-a@ARK
2009/08/18 16:45:18| squid_kerb_auth: AF oRQwEqADCgEAoQsGCSqGSIb3EgECAg== arktest-a@ARK
2009/08/18 16:45:18| squid_kerb_auth: AF oRQwEqADCgEAoQsGCSqGSIb3EgECAg== arktest-a@ARK

  На мой взгляд, причина изменений вот в этой команде:

  sed -e &apos;s/^KRB5_KTNAME=/export &amp;/&apos; -i /etc/init.d/squid

Или у тебя другое мнение?</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>97026</commentid>
    <comment_count>12</comment_count>
    <who name="manowar@altlinux.org">manowar</who>
    <bug_when>2009-08-21 18:01:03 +0400</bug_when>
    <thetext>Гриша, как дела с этим патчем? Может быть сначала приложить его, чтобы потом спокойно разбираться как он работает?</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>97181</commentid>
    <comment_count>13</comment_count>
    <who name="Vitaly Kuznetsov">vitty</who>
    <bug_when>2009-08-24 15:14:51 +0400</bug_when>
    <thetext>2bga: ping, просьба выполнить побыстрее т.к. это мешает тестированию Ofs.</thetext>
  </long_desc><long_desc isprivate="0" >
    <commentid>97218</commentid>
    <comment_count>14</comment_count>
    <who name="Repository Robot">repository-robot</who>
    <bug_when>2009-08-24 20:07:16 +0400</bug_when>
    <thetext>squid-3.0.STABLE18-alt2 -&gt; sisyphus:

* Mon Aug 24 2009 Grigory Batalov &lt;bga@altlinux&gt; 3.0.STABLE18-alt2

- Export Kerberos keytab name (ALT #20413).</thetext>
  </long_desc>
      
      

    </bug>

</bugzilla>