Summary: | Не работает аутентификация через Kerberos | ||||||
---|---|---|---|---|---|---|---|
Product: | Sisyphus | Reporter: | Andrey Cherepanov <cas> | ||||
Component: | alterator-squid | Assignee: | Anton V. Boyarshinov <boyarsh> | ||||
Status: | CLOSED FIXED | QA Contact: | qa-sisyphus | ||||
Severity: | normal | ||||||
Priority: | P3 | CC: | aen, boyarsh, jackie.rosen, manowar | ||||
Version: | unstable | ||||||
Hardware: | all | ||||||
OS: | Linux | ||||||
Bug Depends on: | |||||||
Bug Blocks: | 27685 | ||||||
Attachments: |
|
Description
Andrey Cherepanov
2013-05-14 19:19:32 MSK
http://git.altlinux.org/tasks/97404/ Kerberos+PAM у меня работает, но именно что через PAM (HTTP BASIC). Проверь, пожалуйста, чистый Kerberos и, при наличии проблем, напиши мне, как настраивался сервер: как добавлялись пользователи, какой механизм аутентификации был глобально выбран. После установки alterator-squid из задания 97404 перестало вообще запрашивать аутентификацию (во всех режимах, даже несмотря на изменения в /etc/squid/squid.conf). В /var/log/squid/access_log вместо пользователя '-': 1368689847.705 36 192.168.7.100 TCP_MISS/200 8099 GET http://ya.ru/ - HIER_DIRECT/87.250.250.203 text/html 1368689847.759 14 192.168.7.100 TCP_MISS/200 1585 GET http://yandex.st/lego/_/pDu9OWAQKB0s2J9IojKpiS_Eho.ico - HIER_DIRECT/213.180.193.215 image/x-icon Аутентификация настраивалась штатно: домен, KDC, выбор домена в alterator-auth. Пользователи есть и в LDAP и в Kerberos. Вход производился под доменным пользователем. Created attachment 5825 [details]
/etc/squid/alterator/log
Выбираем режим Kerberos+PAM.
В /etc/squid/squid.conf:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on
auth_param basic program /usr/lib/squid/basic_pam_auth
acl AUTHENTICATED proxy_auth REQUIRED
В общем, ситуация стала ещё хуже.
alterator-squid-1.4.2-alt1 -> sisyphus: * Thu May 16 2013 Paul Wolneykien <manowar@altlinux> 1.4.2-alt1 - Add -r option for Kerberos helper to strip out the domain suffixes from user names (closes: 28971). - Fix the LDAP-group helper options. - Fix/improve the group access generator (closes: 28970). - Improve the config parser a little more. |