Самба для работы сквид+кербаус+ЛДАП вообще не нужна.
Китаб ИМХО надёжнее всего генерить msktutil -- An Active Directory Keytab Manager,
причём версии не ниже 4х!!!
http://fuhm.net/software/msktutil/
Процедура проста:
0. тянем и собираем msktutil
1. kdestroy
2. kinit Administrator
3. Выполняем скриптик
Код: Выделить всё
#!/bin/sh
SHORT_HOSTNAME="`hostname -s`"
domain_lc="`hostname -d`"
DOMAIN_UC="`echo $domain_lc | tr [:lower:] [:upper:]`"
YOUR_AD_SERVER_FQDN="[i]здесь прописать fqdn доменконтроллера, типа: ad.local.net[/i]"
msktutil -c -b "CN=COMPUTERS" \
-s HTTP/$SHORT_HOSTNAME.$domain_lc \
-h $SHORT_HOSTNAME.$domain_lc \
-k /etc/squid/$SHORT_HOSTNAME.keytab \
--computer-name $SHORT_HOSTNAME \
--upn HTTP/$SHORT_HOSTNAME.$domain_lc \
--server $YOUR_AD_SERVER_FQDN \
--verbose --enctypes 28
chmod 600 /etc/squid/$SHORT_HOSTNAME.keytab
chown squid:squid /etc/squid/$SHORT_HOSTNAME.keytab
4. Теперь
Код: Выделить всё
kinit -A -k -t /etc/squid/SHORT_HOSTNAME.keytab \
HTTP/SHORT_HOSTNAME.your.domain.name@YOUR.DOMAIN.NAME
И вперед!
ВАЖНО: your.domain.name - FQDN мелкими буквами (lower case), a YOUR.DOMAIN.NAME - заглавными (upper case)
И ещё:
Для тех, кто хочет свободно искать принадлежность к группе по веткам АД (особенно косвенная принадлежность, вложенная), стоит обратить внимание на 1.2.840.113556.1.4.1941 , оно же LDAP_MATCHING_RULE_IN_CHAIN, это мелкомягкие так облегчают нам труд.
This rule is limited to filters that apply to the DN. This is a special "extended match operator that walks the chain of ancestry in objects all the way to the root until it finds a match.
http://msdn.microsoft.com/en-us/library ... s.85).aspx
Пример:
Код: Выделить всё
external_acl_type ldapgrp children=30 %LOGIN /usr/lib64/squid/squid_ldap_group -R \
-b "dc=my,dc=local,dc=net" \
-f "(&(memberof:1.2.840.113556.1.4.1941:=cn=%a,ou=например_ProxyServer,ou=например_Services,ou=оушка,ou=ещё_оушка,dc=my,dc=local,dc=net)(sAMAccountName=%v)(objectClass=person))" \
-D squid_ldap@my.local.net \
-W /etc/squid/adpw.txt \
-K \
-h mydomaincontroller.my.local.net
Естественно должен быть заведён доменный юзер squid_ldap с соотв. правами и его пароль должен быть прописан в файле /etc/squid/adpw.txt