Bug 28971 - Не работает аутентификация через Kerberos
Summary: Не работает аутентификация через Kerberos
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: alterator-squid (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: Anton V. Boyarshinov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks: 27685
  Show dependency tree
 
Reported: 2013-05-14 19:19 MSK by Andrey Cherepanov
Modified: 2014-02-16 15:56 MSK (History)
4 users (show)

See Also:


Attachments
/etc/squid/alterator/log (75.57 KB, application/octet-stream)
2013-05-16 11:41 MSK, Andrey Cherepanov
no flags Details

Note You need to log in before you can comment on or make changes to this bug.
Description Andrey Cherepanov 2013-05-14 19:19:32 MSK
При выборе режима Kerberos или Kerberos+PAM не работает аутентификация.
Comment 1 manowar@altlinux.org 2013-05-15 21:17:15 MSK
http://git.altlinux.org/tasks/97404/

Kerberos+PAM у меня работает, но именно что через PAM (HTTP BASIC). Проверь, пожалуйста, чистый Kerberos и, при наличии проблем, напиши мне, как настраивался сервер: как добавлялись пользователи, какой механизм аутентификации был глобально выбран.
Comment 2 Andrey Cherepanov 2013-05-16 11:38:08 MSK
После установки alterator-squid из задания 97404 перестало вообще запрашивать аутентификацию (во всех режимах, даже несмотря на изменения в /etc/squid/squid.conf). В /var/log/squid/access_log вместо пользователя '-':

1368689847.705     36 192.168.7.100 TCP_MISS/200 8099 GET http://ya.ru/ - HIER_DIRECT/87.250.250.203 text/html
1368689847.759     14 192.168.7.100 TCP_MISS/200 1585 GET http://yandex.st/lego/_/pDu9OWAQKB0s2J9IojKpiS_Eho.ico - HIER_DIRECT/213.180.193.215 image/x-icon

Аутентификация настраивалась штатно: домен, KDC, выбор домена в alterator-auth. Пользователи есть и в LDAP и в Kerberos. Вход производился под доменным пользователем.
Comment 3 Andrey Cherepanov 2013-05-16 11:41:34 MSK
Created attachment 5825 [details]
/etc/squid/alterator/log

Выбираем режим Kerberos+PAM.

В /etc/squid/squid.conf:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on
auth_param basic program /usr/lib/squid/basic_pam_auth
acl AUTHENTICATED proxy_auth REQUIRED

В общем, ситуация стала ещё хуже.
Comment 4 Repository Robot 2013-05-16 17:41:05 MSK
alterator-squid-1.4.2-alt1 -> sisyphus:

* Thu May 16 2013 Paul Wolneykien <manowar@altlinux> 1.4.2-alt1
- Add -r option for Kerberos helper to strip out the domain suffixes
  from user names (closes: 28971).
- Fix the LDAP-group helper options.
- Fix/improve the group access generator (closes: 28970).
- Improve the config parser a little more.