Bug 28971 - Не работает аутентификация через Kerberos
: Не работает аутентификация через Kerberos
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/alterator-squid)
: unstable
: all Linux
: P3 normal
Assigned To:
:
:
:
:
: 27685
  Show dependency tree
 
Reported: 2013-05-14 19:19 by
Modified: 2014-02-16 15:56 (History)


Attachments
/etc/squid/alterator/log (75.57 KB, application/octet-stream)
2013-05-16 11:41, Andrey Cherepanov
no flags Details


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2013-05-14 19:19:32
При выборе режима Kerberos или Kerberos+PAM не работает аутентификация.
------- Comment #1 From 2013-05-15 21:17:15 -------
http://git.altlinux.org/tasks/97404/

Kerberos+PAM у меня работает, но именно что через PAM (HTTP BASIC). Проверь,
пожалуйста, чистый Kerberos и, при наличии проблем, напиши мне, как
настраивался сервер: как добавлялись пользователи, какой механизм
аутентификации был глобально выбран.
------- Comment #2 From 2013-05-16 11:38:08 -------
После установки alterator-squid из задания 97404 перестало вообще запрашивать
аутентификацию (во всех режимах, даже несмотря на изменения в
/etc/squid/squid.conf). В /var/log/squid/access_log вместо пользователя '-':

1368689847.705     36 192.168.7.100 TCP_MISS/200 8099 GET http://ya.ru/ -
HIER_DIRECT/87.250.250.203 text/html
1368689847.759     14 192.168.7.100 TCP_MISS/200 1585 GET
http://yandex.st/lego/_/pDu9OWAQKB0s2J9IojKpiS_Eho.ico -
HIER_DIRECT/213.180.193.215 image/x-icon

Аутентификация настраивалась штатно: домен, KDC, выбор домена в alterator-auth.
Пользователи есть и в LDAP и в Kerberos. Вход производился под доменным
пользователем.
------- Comment #3 From 2013-05-16 11:41:34 -------
Created an attachment (id=5825) [details]
/etc/squid/alterator/log

Выбираем режим Kerberos+PAM.

В /etc/squid/squid.conf:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on
auth_param basic program /usr/lib/squid/basic_pam_auth
acl AUTHENTICATED proxy_auth REQUIRED

В общем, ситуация стала ещё хуже.
------- Comment #4 From 2013-05-16 17:41:05 -------
alterator-squid-1.4.2-alt1 -> sisyphus:

* Thu May 16 2013 Paul Wolneykien <manowar@altlinux> 1.4.2-alt1
- Add -r option for Kerberos helper to strip out the domain suffixes
  from user names (closes: 28971).
- Fix the LDAP-group helper options.
- Fix/improve the group access generator (closes: 28970).
- Improve the config parser a little more.