Решил сделать авторизацию в Сквиде по УЗ в Самбе, которая работает как контроллер домена. Поставил самбу, ДНС используется тот, который в самбе, прямая и обратная зоны прописаны правильно(на компе, введенном в домен, контроллер резолвится и по имени, и по адресу).
Есть 2 варианта. Первый- чтобы сквид пускал в инет всех юзеров, которые смогли авторизоваться в домене. Тут все просто- вот squid.conf :
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -r -s HTTP/dc.domain.local
auth_param negotiate children 100 startup=10 idle=5
auth_param negotiate keep_alive on
acl CONNECT method CONNECT
acl AD_users proxy_auth REQUIRED
http_access allow AD_users
http_port 3128
И этот вариант работает.
Второй посложнее- чтобы доступ давался на основе групп из АД. Тогда squid.conf будет таким:
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -r -s HTTP/dc.domain.locaL
auth_param negotiate children 100 startup=10 idle=5
auth_param negotiate keep_alive on
acl CONNECT method CONNECT
acl AD_users proxy_auth REQUIRED
http_port 3128
external_acl_type vse children-max=100 children-startup=50 cache=10 grace=15 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -d -i -a -g squid_full@DOMAIN.LOCAL -D DOMAIN.LOCAL -S dc.DOMAIN.LOCAL
acl AD_FullInet external vse
http_access allow AD_FullInet
И вот тут у меня ничего не получается
При старте сквида или при попытке соединения выходит ошибка "Could not set LDAP_OPT_X_SASL_SECPROPS: maxssf=56: Can't contact LDAP server" и следом- "Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server" . Судя по логу, он видит КД, пытается к нему подключиться- и не может.
Поискал в инете- ничего не нашел. Может быть, есть какие-то мысли по этому поводу?
Лог
kerberos_ldap_group.cc(430): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: INFO: Got User: root set default domain: domain.local
kerberos_ldap_group.cc(435): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: INFO: Got User: root Domain: domain.local
support_member.cc(63): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: User domain loop: group@domain squid_full@domain.local
support_member.cc(65): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Found group@domain squid_full@domain.local
support_ldap.cc(1007): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Setup Kerberos credential cache
support_krb5.cc(131): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Set credential cache to MEMORY:squid_ldap_domain.local_95252
support_krb5.cc(78): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: No default principal found in ccache : No credentials cache found
support_krb5.cc(263): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Get default keytab file name
support_krb5.cc(269): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Got default keytab file name /usr/local/etc/squid/squid.keytab
support_krb5.cc(283): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Get principal name from keytab /usr/local/etc/squid/squid.keytab
support_krb5.cc(294): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Keytab entry has realm name: domain.local
support_krb5.cc(306): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Found principal name: HTTP/dc.domain.local@domain.local
support_krb5.cc(326): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Got principal name HTTP/dc.domain.local@domain.local
support_krb5.cc(390): pid=95252 :2020/12/08 18:56:30| kerberos_ldap_group: DEBUG: Stored credentials
support_ldap.cc(1048): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Initialise ldap connection
support_ldap.cc(1057): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Canonicalise ldap server name for domain domain.local
support_resolv.cc(244): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Ldap server loop: lserver@domain dc.domain.local@NULL
support_resolv.cc(254): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Found lserver@domain dc.domain.local@NULL
support_resolv.cc(443): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Sorted ldap server names for domain domain.local:
support_resolv.cc(445): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Host: dc.domain.local Port: -1 Priority: -2 Weight: -2
support_ldap.cc(1068): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Setting up connection to ldap server dc.domain.local:389
support_ldap.cc(1081): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Bind to ldap server with SASL/GSSAPI
support_sasl.cc(259): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: ERROR: Could not set LDAP_OPT_X_SASL_SECPROPS: maxssf=56: Can't contact LDAP server
support_ldap.cc(1087): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: ERROR: Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server
support_ldap.cc(1115): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Error during initialisation of ldap connection: No such file or directory
support_ldap.cc(1196): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Error during initialisation of ldap connection: No such file or directory
support_member.cc(76): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: INFO: User root is not member of group@domain squid_full@domain.local
support_member.cc(91): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Default domain loop: group@domain squid_full@domain.local
support_member.cc(119): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Default group loop: group@domain squid_full@domain.local
kerberos_ldap_group.cc(474): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: ERR
Вход
Регистрация
Поиск
