Ошибки хелпера ext_kerberos_ldap_group_acl

Ответить
Аватара пользователя
Mirgen
Сообщения: 3
Зарегистрирован: 14 июл 2021 17:43
Контактная информация:

Ошибки хелпера ext_kerberos_ldap_group_acl

Сообщение Mirgen » 17 июл 2021 07:01

Здравствуйте!
Не могу настроить работу хелпера сквида ext_kerberos_ldap_group_acl в тестовой среде.

Начальные данные:
1. Прокси сервер - ось debian 10 buster 64 bit
- squid 4.6-1 - собран из исходников для поддержки ssl
- имя хоста прокси сервера - debian-10-guest
2. Контролер домена ось - Windows server 2012 R2 64 bit - со всеми ролями FSMO и службой DNS
FQDN домена - mi.local
FQDN контролера домена dc.mi.local
3. Рабочая станция клиент Windows 10 64 bit

Все хосты работают из под Virtual Box, сетевые карты виртуальных машин подключены до маршрутизатора типом соединения "мост". Все хосты находятся в одной подсети 192.168.1.0/24, все имеют статические параметры tcp\ip, служба dhcp отсутствует. Все хосты находятся в домене mi.local Все внутренние и внешние днс запросы у всех машин резолвятся. В днс службе для всех машин в прямой и обратной зоне записи созданы, соответственно A и PTR записи. Прокси сервер и клиент время с контролером домена синхронизируют. Контролер тянет время из внешнего источника.

Начало конфига сквида
начало конфига сквида.png
начало конфига сквида.png (194.8 КБ) 106 просмотров
Конец конфига сквида
конец конфига сквида.png
конец конфига сквида.png (65.65 КБ) 106 просмотров
Krb5.conf
krb5.conf.png
krb5.conf.png (38.95 КБ) 106 просмотров
sssd.conf
sssd.conf.png
sssd.conf.png (66.89 КБ) 106 просмотров
cache.log
cache.log.png
cache.log.png (151.51 КБ) 106 просмотров
Не подскажитете, что за ошибки в скрине cache.log и как их побороть?
Дело в том, что хелпер ext_kerberos_ldap_group_acl не может правильно определить членство пользователя в группе AD и всегда даёт результат, что пользователя нет в группе, из-за чего не могу выстроить правильную логику работы по разграничениям доступа в интернет.

Аватара пользователя
Mirgen
Сообщения: 3
Зарегистрирован: 14 июл 2021 17:43
Контактная информация:

Re: Ошибки хелпера ext_kerberos_ldap_group_acl

Сообщение Mirgen » 17 июл 2021 07:03

Интересно, что хелпер ext_kerberos_ldap_group_acl при запуске в терминале из под root корректно отрабатывает.
В первом выводе команды пользователь ivandaev член группы internet-low, во втором выводе ivandaev не член группы inet-full, что соответствует действительности.
root ext_kerberos_ldap_group_acl.png
root ext_kerberos_ldap_group_acl.png (59.42 КБ) 105 просмотров

Аватара пользователя
Mirgen
Сообщения: 3
Зарегистрирован: 14 июл 2021 17:43
Контактная информация:

Re: Ошибки хелпера ext_kerberos_ldap_group_acl

Сообщение Mirgen » 17 июл 2021 13:36

Все тему можно закрывать. Дал права на чтение и выполнение всем файла /etc/krb5.keytab
#chmod 755 /etc/krb5.keytab

Ответить

Вернуться в «Прокси-сервер Squid»