Bug 28971

Summary: Не работает аутентификация через Kerberos
Product: Sisyphus Reporter: Andrey Cherepanov <cas>
Component: alterator-squidAssignee: Anton V. Boyarshinov <boyarsh>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: aen, boyarsh, jackie.rosen, manowar
Version: unstable   
Hardware: all   
OS: Linux   
Bug Depends on:    
Bug Blocks: 27685    
Attachments:
Description Flags
/etc/squid/alterator/log none

Description Andrey Cherepanov 2013-05-14 19:19:32 MSK
При выборе режима Kerberos или Kerberos+PAM не работает аутентификация.
Comment 1 manowar@altlinux.org 2013-05-15 21:17:15 MSK
http://git.altlinux.org/tasks/97404/

Kerberos+PAM у меня работает, но именно что через PAM (HTTP BASIC). Проверь, пожалуйста, чистый Kerberos и, при наличии проблем, напиши мне, как настраивался сервер: как добавлялись пользователи, какой механизм аутентификации был глобально выбран.
Comment 2 Andrey Cherepanov 2013-05-16 11:38:08 MSK
После установки alterator-squid из задания 97404 перестало вообще запрашивать аутентификацию (во всех режимах, даже несмотря на изменения в /etc/squid/squid.conf). В /var/log/squid/access_log вместо пользователя '-':

1368689847.705     36 192.168.7.100 TCP_MISS/200 8099 GET http://ya.ru/ - HIER_DIRECT/87.250.250.203 text/html
1368689847.759     14 192.168.7.100 TCP_MISS/200 1585 GET http://yandex.st/lego/_/pDu9OWAQKB0s2J9IojKpiS_Eho.ico - HIER_DIRECT/213.180.193.215 image/x-icon

Аутентификация настраивалась штатно: домен, KDC, выбор домена в alterator-auth. Пользователи есть и в LDAP и в Kerberos. Вход производился под доменным пользователем.
Comment 3 Andrey Cherepanov 2013-05-16 11:41:34 MSK
Created attachment 5825 [details]
/etc/squid/alterator/log

Выбираем режим Kerberos+PAM.

В /etc/squid/squid.conf:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on
auth_param basic program /usr/lib/squid/basic_pam_auth
acl AUTHENTICATED proxy_auth REQUIRED

В общем, ситуация стала ещё хуже.
Comment 4 Repository Robot 2013-05-16 17:41:05 MSK
alterator-squid-1.4.2-alt1 -> sisyphus:

* Thu May 16 2013 Paul Wolneykien <manowar@altlinux> 1.4.2-alt1
- Add -r option for Kerberos helper to strip out the domain suffixes
  from user names (closes: 28971).
- Fix the LDAP-group helper options.
- Fix/improve the group access generator (closes: 28970).
- Improve the config parser a little more.