Squid с Kerberos аутентификацией

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
omnus
рядовой
Сообщения: 30
Зарегистрирован: 2012-04-26 13:43:29

Squid с Kerberos аутентификацией

Непрочитанное сообщение omnus » 2015-11-19 12:24:38

Всем доброго времени суток.
Имеется система:

Код: Выделить всё

FreeBSD server.domain.ru 9.2-RELEASE-p10 FreeBSD 9.2-RELEASE-p10
В ней установлен Squid

Код: Выделить всё

# squid -v
Squid Cache: Version 3.5.11
Service Name: squid
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache' '--without-gnutls' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--disable-arch-native' '--disable-eui' '--disable-cache-digests' '--enable-delay-pools' '--disable-ecap' '--disable-esi' '--disable-follow-x-forwarded-for' '--disable-htcp' '--disable-icap-client' '--disable-icmp' '--disable-ident-lookups' '--disable-ipv6' '--enable-kqueue' '--with-large-files' '--disable-http-violations' '--without-nettle' '--disable-snmp' '--enable-ssl' '--disable-ssl-crtd' '--disable-stacktraces' '--disable-ipf-transparent' '--disable-ipfw-transparent' '--disable-pf-transparent' '--without-nat-devpf' '--disable-forw-via-db' '--enable-wccp' '--enable-wccpv2' '--with-heimdal-krb5=/usr' 'CFLAGS=-I/usr/include -pipe -I/usr/local/include -I/usr/local/include -I/usr/include -g -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS=-L/usr/lib  -L/usr/local/lib -L/usr/local/lib  -L/usr/lib -fstack-protector' 'LIBS=-lkrb5 -lgssapi -lgssapi_krb5 ' 'KRB5CONFIG=/usr/bin/krb5-config' '--enable-auth-basic=DB SMB_LM MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam LDAP SASL NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group LDAP_group kerberos_ldap_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--without-pthreads' '--enable-storeio=ufs' '--enable-disk-io=AIO Blocking IpcIo Mmapped' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-storeid-rewrite-helpers=file' '--with-openssl=/usr' '--disable-optimizations' '--enable-debug-cbdata' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd9.2' 'build_alias=amd64-portbld-freebsd9.2' 'CC=cc' 'CPPFLAGS=-I/usr/local/include' 'CXX=c++' 'CXXFLAGS=-pipe -I/usr/local/include -I/usr/local/include -I/usr/include -g -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing' 'CPP=cpp' --enable-ltdl-convenience
Настроена Kerberos аутентификация.
До недавних пор все работало хорошо (что случилось не знаю, сейчас там не работаю)
Время на сервере и КД совпадает.
кейтаб:

Код: Выделить всё

# ktutil -k /etc/krb5.keytab list
/etc/krb5.keytab:

Vno  Type              Principal
  3  arcfour-hmac-md5  HTTP/server.domain.ru@DOMAIN.RU
Вывод kinit:

Код: Выделить всё

# kinit -k HTTP/server.domain.ru
# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: HTTP/server.domain.ru@DOMAIN.RU

  Issued           Expires          Principal
Nov 19 09:20:39  Nov 19 19:20:35  krbtgt/DOMAIN.RU@DOMAIN.RU
при аутентификации в логах сквида появляется запись:

Код: Выделить всё

negotiate_kerberos_auth.cc(180): pid=3435 :2015/11/19 15:23:13| negotiate_kerberos_auth: ERROR: gss_accept_sec_context() failed:  Miscellaneous failure (see text). unknown mech-code 0 for mech unknown
2015/11/19 15:23:13 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: gss_accept_sec_context() failed:  Miscellaneous failure (see text). unknown mech-code 0 for mech unknown; }}
Помогите понять, в чем дело

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35288
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Squid с Kerberos аутентификацией

Непрочитанное сообщение Alex Keda » 2015-11-20 8:21:36

Ничё не обновляли?
Убей их всех! Бог потом рассортирует...

omnus
рядовой
Сообщения: 30
Зарегистрирован: 2012-04-26 13:43:29

Squid с Kerberos аутентификацией

Непрочитанное сообщение omnus » 2015-11-20 9:20:19

на юниксе только сквид обновил, да и то в следствии того, что до этого версия 3.4 выдавала такую же ошибку

ivan__
сержант
Сообщения: 234
Зарегистрирован: 2009-08-11 15:48:32
Откуда: Питер

Squid с Kerberos аутентификацией

Непрочитанное сообщение ivan__ » 2015-11-25 9:21:52

как в конфиге сквида строка авторизации выглядит?

omnus
рядовой
Сообщения: 30
Зарегистрирован: 2012-04-26 13:43:29

Squid с Kerberos аутентификацией

Непрочитанное сообщение omnus » 2015-11-25 14:31:29

Код: Выделить всё

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -s HTTP/server.domain.ru@DOMAIN.RU
ну и стандартные "acl auth" и "http_access auth ..."

ivan__
сержант
Сообщения: 234
Зарегистрирован: 2009-08-11 15:48:32
Откуда: Питер

Squid с Kerberos аутентификацией

Непрочитанное сообщение ivan__ » 2015-11-25 15:52:10

попробуй так

Код: Выделить всё

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME