Summary: | Не работает аутентификация Обычный-Kerberos | ||
---|---|---|---|
Product: | Sisyphus | Reporter: | Andrey Cherepanov <cas> |
Component: | squid-server | Assignee: | Vitaly Kuznetsov <vitty> |
Status: | CLOSED FIXED | QA Contact: | qa-sisyphus |
Severity: | critical | ||
Priority: | P3 | CC: | aen, bga, inger, ktirf, manowar, redbaron, slazav |
Version: | unstable | Keywords: | distro-blocker |
Hardware: | all | ||
OS: | Linux | ||
Bug Depends on: | |||
Bug Blocks: | 19564, 20396 |
Description
Andrey Cherepanov
2009-06-11 13:37:14 MSD
А браузер настроен в соответствие с инструкцией? (/usr/share/doc/squid-kerberos-ldap-helper-1.1.2/README) Хотя стой, там же наверное сам сервер KDC не настроен на Squid. Я сделал это однажды, под диктовку sbolhakov@, теперь это нужно как то зафиксировать. Предположительно в alterator-kdc. Со стороны alterator-squid никаких специальных настроек записывать в /etc/squid/squid.conf не требуется. Указывается только, что нужно использовать хелпер /usr/lib/squid/squid_kerb_auth. Всё остальное уже должно быть настроено "из коробки" (squid => 3.0-*-alt2). Запрашивает имя пользователя и пароль, хотя тикет получен и запрашивать не должен. Переоткрываю багу. Ребят, у меня все работает, правда делал руками без альтератора. Запомнил 2 особенности: 1) добавить в init.d/squid строчку export KRB5_KTNAME=/etc/squid/squid.keytab 2) в squid.keytab положить ключ для принципала HTTP/hostname (HTTP причем с большой буквы, с маленькими у меня по-моему не заработало). Обычный Kerberos (negotiate) не может запрашивать пароль -- ему нечем! :) Либо пропускает, либо access denied и всё. (В ответ на комментарий №6) > Обычный Kerberos (negotiate) не может запрашивать пароль -- ему нечем! :) > Либо пропускает, либо access denied и всё. Это значит, что не работают настройки alterator-squid, нет? --- /etc/init.d/squid~ 2009-08-05 20:12:02 +0400 +++ /etc/init.d/squid 2009-08-14 01:00:18 +0400 @@ -25,7 +25,7 @@ SourceIfNotEmpty /etc/sysconfig/network # Kerberos keytab file -KRB5_KTNAME=/etc/squid/squid.keytab +export KRB5_KTNAME=/etc/squid/squid.keytab # Overwrite something SourceIfNotEmpty /etc/sysconfig/squid --- /etc/sysconfig/squid~ 2009-08-14 01:53:15 +0400 +++ /etc/sysconfig/squid 2009-08-14 01:52:51 +0400 @@ -1,2 +1,2 @@ # Kerberos keytab file -#KRB5_KTNAME=%_sysconfig/%name/squid.keytab +#export KRB5_KTNAME=/etc/squid/squid.keytab По видимому, без export не работает. Ты хочешь сказать, что у тебя не работало, ты добавил export, и тогда заработало? Я проверял именно в такой последовательности и разницы не обнаружил. Я только что проверил всё ещё раз. # sed -e 's/squid_kerb_auth/& -d/' -i /etc/squid/squid.conf # service squid restart # tail -2 /var/log/squid/cache.log 2009/08/18 16:37:00| squid_kerb_auth: Got 'YR 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' from squid (length: 695). 2009/08/18 16:37:00| squid_kerb_auth: gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information. Permission denied # sed -e 's/^KRB5_KTNAME=/export &/' -i /etc/init.d/squid # service squid restart # tail -4 /var/log/squid/cache.log 2009/08/18 16:45:18| squid_kerb_auth: Got 'YR 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' from squid (length: 695). 2009/08/18 16:45:18| squid_kerb_auth: AF oRQwEqADCgEAoQsGCSqGSIb3EgECAg== arktest-a@ARK 2009/08/18 16:45:18| squid_kerb_auth: AF oRQwEqADCgEAoQsGCSqGSIb3EgECAg== arktest-a@ARK 2009/08/18 16:45:18| squid_kerb_auth: AF oRQwEqADCgEAoQsGCSqGSIb3EgECAg== arktest-a@ARK На мой взгляд, причина изменений вот в этой команде: sed -e 's/^KRB5_KTNAME=/export &/' -i /etc/init.d/squid Или у тебя другое мнение? Гриша, как дела с этим патчем? Может быть сначала приложить его, чтобы потом спокойно разбираться как он работает? 2bga: ping, просьба выполнить побыстрее т.к. это мешает тестированию Ofs. squid-3.0.STABLE18-alt2 -> sisyphus: * Mon Aug 24 2009 Grigory Batalov <bga@altlinux> 3.0.STABLE18-alt2 - Export Kerberos keytab name (ALT #20413). |