squid+AD+W2K8R2

[ba4e1or]

Доброго времени суток!!!
Браузер не пускает в интернет, вываливает окно запроса авторизации, я уже не понимаю куда копать.... Помогите голова уже отказывается думать.
в squid.conf присутвуют строки

Код: Выделить всё

auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth -d
auth_param negotiate children 10
auth_param negotiate keep_alive on
...
acl inet proxy_auth REQUIRED
...
http_access allow inet
http_access deny all

по команде

Код: Выделить всё

kinint -t -k /etc/krb5.keytab HTTP/pc-40.intranet.com

билетик получаю
за основу использовал статью http://www.k-max.name/linux/squid-auth- ... directory/
до авторизации по группам не добрался
может не хватает параметра squid_ldap_auth в squid.conf?
в браузере прокся прописана pc-40.intranet.com (т.е. как положено не IP, а fqdn)
на официальном сайте пишут, что необходимо прописать в скрип запуска сквида строчки

Код: Выделить всё

KRB5_KTNAME=/etc/krb5.keytab
export KRB5_KTNAME=/etc/krb5.keytab

не совсем понимаю куда их прописать, в файл /usr/local/etc/rc.d/squid ?
на последок лог ошибок в /var/log/squid/access.log

Код: Выделить всё

1353795283.012      6 192.168.0.30 TCP_DENIED/407 2016 CONNECT s-static.ak.facebook.com:443 - NONE/- text/html
1353795283.012      6 192.168.0.30 TCP_DENIED/407 2016 CONNECT s-static.ak.facebook.com:443 - NONE/- text/html
1353795283.012      6 192.168.0.30 TCP_DENIED/407 2016 CONNECT s-static.ak.facebook.com:443 - NONE/- text/html
1353795283.037      3 192.168.0.30 TCP_DENIED/407 2842 GET http://auto.ru/ - NONE/- text/html
1353795283.045      5 192.168.0.30 TCP_DENIED/407 2945 GET http://auto.ru/ - NONE/- text/html
1353795286.524      3 192.168.0.30 TCP_DENIED/407 2595 GET http://rutracker.org/forum/index.php - NONE/- text/html
1353795286.531      4 192.168.0.30 TCP_DENIED/407 2698 GET http://rutracker.org/forum/index.php - NONE/- text/html

klist

Код: Выделить всё

Credentials cache: FILE:/tmp/krb5cc_0
        Principal: HTTP/pc-40.intranet.COM@INTRANET.COM

  Issued           Expires          Principal
Nov 25 02:15:18  Nov 25 12:14:34  krbtgt/INTRANET.COM@INTRANET.COM

cat /var/log/squid/cache.log

Код: Выделить всё

2012/11/25 02:18:42| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid (length: 59).
2012/11/25 02:18:42| squid_kerb_auth: received type 1 NTLM token
2012/11/25 02:18:47| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid (length: 59).
2012/11/25 02:18:47| squid_kerb_auth: received type 1 NTLM token
2012/11/25 02:18:50| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid (length: 59).
2012/11/25 02:18:50| squid_kerb_auth: received type 1 NTLM token
2012/11/25 02:18:58| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid (length: 59).
2012/11/25 02:18:58| squid_kerb_auth: received type 1 NTLM token
2012/11/25 02:19:18| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid (length: 59).
2012/11/25 02:19:18| squid_kerb_auth: received type 1 NTLM token
2012/11/25 02:19:18| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid (length: 59).
2012/11/25 02:19:18| squid_kerb_auth: received type 1 NTLM token
2012/11/25 02:19:58| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid (length: 59).
2012/11/25 02:19:58| squid_kerb_auth: received type 1 NTLM token

заранее спасибо!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ba4e1or]

ну хоть намек дайте, неужели никто не подымал такую связку

[VITYA]

У меня на 9-ке были похожие ошибки?
Я делал на 8-ке по этой статье: http://www.lissyara.su/?id=2101
windows 2008 был.

Этим конфигом удобно тестировать аутентификацию:

Код: Выделить всё

http_port 3128
cache_dir ufs /usr/squid/cache 8000 8 64
access_log /var/log/squid/access.log squid

auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on

acl AUTHENTICATED proxy_auth REQUIRED

acl localnet src 192.168.0.0/24
http_access allow AUTHENTICATED localnet
http_access deny all

[ba4e1or лень фходить]

http://wiki.squid-cache.org/ConfigExamp ... _Directory
вот так я смог это запустить.
Этот шаг не делал и в конфинг не добавлял

Код: Выделить всё

### negotiate kerberos and ntlm authentication
auth_param negotiate program /usr/local/bin/negotiate_wrapper -d --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=EXAMPLE --kerberos /usr/lib/squid3/squid_kerb_auth -d -s GSS_C_NO_NAME
auth_param negotiate children 10
auth_param negotiate keep_alive off

Соответственно и скачить врапер не стал

Код: Выделить всё

cd /usr/local/src/
wget "http://downloads.sourceforge.net/project/squidkerbauth/negotiate_wrapper/negotiate_wrapper-1.0.1/negotiate_wrapper-1.0.1.tar.gz"
tar -xvzf negotiate_wrapper-1.0.1.tar.gz
cd negotiate_wrapper-1.0.1/
./configure
make
make install

В кроне строчки

Код: Выделить всё

# squid kinit update
0       4       *       *       *       root    msktutil --auto-update --verbose --computer-name pc-35 | logger -t msktutil
5       4       *       *       *       root    net rpc changetrustpw -d 1 | logger -t changetrustpw

У samba36 проблемы с работой в джайле для моей сетевой карты, она игнорит строки

Код: Выделить всё

interfaces

и

Код: Выделить всё

bind interfaces only

поэтому пришлось ставить samba34