Bug 20413

Summary: Не работает аутентификация Обычный-Kerberos
Product: Sisyphus Reporter: Andrey Cherepanov <cas>
Component: squid-serverAssignee: Vitaly Kuznetsov <vitty>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: critical    
Priority: P3 CC: aen, bga, inger, ktirf, manowar, redbaron, slazav
Version: unstableKeywords: distro-blocker
Hardware: all   
OS: Linux   
Bug Depends on:    
Bug Blocks: 19564, 20396    

Description Andrey Cherepanov 2009-06-11 13:37:14 MSD
Cache Access Denied. Тикет получен.
Comment 1 manowar@altlinux.org 2009-06-15 12:20:39 MSD
А браузер настроен в соответствие с инструкцией?
(/usr/share/doc/squid-kerberos-ldap-helper-1.1.2/README)
Comment 2 manowar@altlinux.org 2009-06-16 17:03:26 MSD
Хотя стой, там же наверное сам сервер KDC не настроен на Squid. Я сделал это однажды, под диктовку sbolhakov@, теперь это нужно как то зафиксировать. Предположительно в alterator-kdc.
Comment 3 manowar@altlinux.org 2009-07-02 15:09:20 MSD
Со стороны alterator-squid никаких специальных настроек записывать в /etc/squid/squid.conf не требуется. Указывается только, что нужно использовать хелпер /usr/lib/squid/squid_kerb_auth. Всё остальное уже должно быть настроено "из коробки" (squid => 3.0-*-alt2).
Comment 4 Andrey Cherepanov 2009-08-07 16:34:46 MSD
Запрашивает имя пользователя и пароль, хотя тикет получен и запрашивать не должен. Переоткрываю багу.
Comment 5 redbaron 2009-08-10 10:31:38 MSD
Ребят, у меня все работает, правда делал руками без альтератора. Запомнил 2 особенности:

1) добавить в init.d/squid строчку export KRB5_KTNAME=/etc/squid/squid.keytab
2) в squid.keytab положить ключ для принципала HTTP/hostname (HTTP причем с большой буквы, с маленькими у меня по-моему не заработало).
Comment 6 manowar@altlinux.org 2009-08-10 12:39:19 MSD
Обычный Kerberos (negotiate) не может запрашивать пароль -- ему нечем! :)
Либо пропускает, либо access denied и всё.
Comment 7 AEN 2009-08-10 12:51:52 MSD
(В ответ на комментарий №6)
> Обычный Kerberos (negotiate) не может запрашивать пароль -- ему нечем! :)
> Либо пропускает, либо access denied и всё.

Это значит, что не работают настройки alterator-squid, нет?
Comment 8 manowar@altlinux.org 2009-08-14 02:00:03 MSD
--- /etc/init.d/squid~	2009-08-05 20:12:02 +0400
+++ /etc/init.d/squid	2009-08-14 01:00:18 +0400
@@ -25,7 +25,7 @@
 SourceIfNotEmpty /etc/sysconfig/network 
 
 # Kerberos keytab file
-KRB5_KTNAME=/etc/squid/squid.keytab
+export KRB5_KTNAME=/etc/squid/squid.keytab
 # Overwrite something
 SourceIfNotEmpty /etc/sysconfig/squid
 
--- /etc/sysconfig/squid~	2009-08-14 01:53:15 +0400
+++ /etc/sysconfig/squid	2009-08-14 01:52:51 +0400
@@ -1,2 +1,2 @@
 # Kerberos keytab file
-#KRB5_KTNAME=%_sysconfig/%name/squid.keytab
+#export KRB5_KTNAME=/etc/squid/squid.keytab
Comment 9 manowar@altlinux.org 2009-08-14 02:02:11 MSD
По видимому, без export не работает.
Comment 10 Grigory Batalov 2009-08-14 02:16:56 MSD
Ты хочешь сказать, что у тебя не работало, ты добавил export, и тогда заработало?
Я проверял именно в такой последовательности и разницы не обнаружил.
Comment 11 manowar@altlinux.org 2009-08-18 17:01:36 MSD
Я только что проверил всё ещё раз.

# sed -e 's/squid_kerb_auth/& -d/' -i /etc/squid/squid.conf
# service squid restart
# tail -2 /var/log/squid/cache.log
2009/08/18 16:37:00| squid_kerb_auth: Got 'YR YIICAgYGKwYBBQUCoIIB9jCCAfKgHzAdBgkqhkiG9xIBAgIGBSsFAQUCBgkqhkiC9xIBAgKiggHNBIIByWCCAcUGCSqGSIb3EgECAgEAboIBtDCCAbCgAwIBBaEDAgEOogcDBQAAAAAAo4HxYYHuMIHroAMCAQWhBRsDQVJLoh8wHaADAgEDoRYwFBsESFRUUBsMc2VydmVyNTAuYXJro4G7MIG4oAMCAQGhAwIBA6KBqwSBqKSJNTskGGls4mfPeSw9ajnBanUl6Nqgbh6DwmaHULKKT5FcG6iYmTsFla8d/LhgJKa3dyQcQBwbHyNvPiuztfFEfddny5CJvIcv2grwcSuEWGltCtr8s2kWYEQf6p0zh9uDHCv27lykoa3xCa54Rvxc2wYt3fK+jXTw9JDdc0GcqS+UXB8+JeO6LMdULxozzzXcntM3phdCIa7pmbmY4cj3oPOlGDtspaSBpjCBo6ADAgEBooGbBIGYemmOFIGk3GJorN6QcEL9lPlrobV1jtj1hQnmsH5sleQ9K1tYxNY4c2V36OcNnPtc43mw12uaoJ8N4iG0DAFkjpdpEgx6abYpuIg4574p8VF62lASOIw5a5X0Y5BfU6+JbJPR1vPa9lah9vSqdKbvH5o9x5MMrgVVnoI6UYHZ4qvGuDh5wXP4GdeJCnA3gC034l8FpIILM44=' from squid (length: 695).
2009/08/18 16:37:00| squid_kerb_auth: gss_acquire_cred() failed: Unspecified GSS failure.  Minor code may provide more information. Permission denied 
# sed -e 's/^KRB5_KTNAME=/export &/' -i /etc/init.d/squid
# service squid restart
# tail -4 /var/log/squid/cache.log
2009/08/18 16:45:18| squid_kerb_auth: Got 'YR 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' from squid (length: 695).
2009/08/18 16:45:18| squid_kerb_auth: AF oRQwEqADCgEAoQsGCSqGSIb3EgECAg== arktest-a@ARK
2009/08/18 16:45:18| squid_kerb_auth: AF oRQwEqADCgEAoQsGCSqGSIb3EgECAg== arktest-a@ARK
2009/08/18 16:45:18| squid_kerb_auth: AF oRQwEqADCgEAoQsGCSqGSIb3EgECAg== arktest-a@ARK

  На мой взгляд, причина изменений вот в этой команде:

  sed -e 's/^KRB5_KTNAME=/export &/' -i /etc/init.d/squid

Или у тебя другое мнение?
Comment 12 manowar@altlinux.org 2009-08-21 18:01:03 MSD
Гриша, как дела с этим патчем? Может быть сначала приложить его, чтобы потом спокойно разбираться как он работает?
Comment 13 Vitaly Kuznetsov 2009-08-24 15:14:51 MSD
2bga: ping, просьба выполнить побыстрее т.к. это мешает тестированию Ofs.
Comment 14 Repository Robot 2009-08-24 20:07:16 MSD
squid-3.0.STABLE18-alt2 -> sisyphus:

* Mon Aug 24 2009 Grigory Batalov <bga@altlinux> 3.0.STABLE18-alt2

- Export Kerberos keytab name (ALT #20413).