Алексей Максимов писал(а):Как видно из дебага, у вас 4 контроллера домена.
Вы пытались определить членство в группе TEST-Internet-Standart для пользователя student.
Хелпер не смог соединиться с контроллером dc04.TEST.local:389 (Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server)
После этого он соеденился с другим контроллером - dc03.TEST.local:389 и выполнив поиск выдал, что указанный пользователь не является членом указанной группы.
На самом деле пользователь в группе или нет?
Нет в тот момент не было!
Все ли 4 контроллера домена работают корректно и все ли они одинаково приближены к Squid? Если нет, то возможно не лучше будет указать дополнительным ключом явно используемые контроллеры домена (как LDAP-серверы для поиска)
Убрал лишние котроллеры домена, указал в непосредственной близости с проксиком.
вот что вышло:
sudo /usr/lib/squid3/ext_kerberos_ldap_group_acl -d -a -i -g
TEST-Internet-Standart@TEST.LOCAL -D TEST.LOCAL -S dc01.TEST.local
[sudo] password for user:
kerberos_ldap_group.cc(275): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: INFO: Starting version 1.3.1sq
support_group.cc(374): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: INFO: Group list
TEST-Internet-Standart@TEST.LOCAL
support_group.cc(439): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: INFO: Group TEST-Internet-Standart Domain TEST.LOCAL
support_netbios.cc(75): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: DEBUG: Netbios list NULL
support_netbios.cc(79): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: DEBUG: No netbios names defined.
support_lserver.cc(74): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: DEBUG: ldap server list dc01.TEST.local
support_lserver.cc(138): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: DEBUG: ldap server dc01.TEST.local Domain NULL
student TEST-Internet-Restricted
kerberos_ldap_group.cc(367): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: INFO: Got User: student set default domain: TEST.LOCAL
kerberos_ldap_group.cc(372): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: INFO: Got User: student Domain: TEST.LOCAL
support_member.cc(55): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: User domain loop: group@domain
TEST-Internet-Standart@TEST.LOCAL
support_member.cc(57): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Found group@domain
TEST-Internet-Standart@TEST.LOCAL
support_ldap.cc(801): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Setup Kerberos credential cache
support_krb5.cc(90): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Get default keytab file name
support_krb5.cc(96): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Got default keytab file name /etc/squid3/PROXY.keytab
support_krb5.cc(110): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Get principal name from keytab /etc/squid3/PROXY.keytab
support_krb5.cc(121): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Keytab entry has realm name: TEST.LOCAL
support_krb5.cc(133): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Found principal name: HTTP/
srv-prx-01.TEST.local@TEST.LOCAL
support_krb5.cc(174): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Set credential cache to MEMORY:squid_ldap_1790
support_krb5.cc(269): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Got principal name HTTP/
srv-prx-01.TEST.local@TEST.LOCAL
support_krb5.cc(312): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Stored credentials
support_ldap.cc(830): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Initialise ldap connection
support_ldap.cc(836): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Canonicalise ldap server name for domain TEST.LOCAL
support_resolv.cc(238): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Ldap server loop: lserver@domain dc01.TEST.local@NULL
support_resolv.cc(248): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Found lserver@domain dc01.TEST.local@NULL
support_resolv.cc(437): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Sorted ldap server names for domain TEST.LOCAL:
support_resolv.cc(439): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Host: dc01.TEST.local Port: -1 Priority: -2 Weight: -2
support_ldap.cc(845): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Setting up connection to ldap server dc01.TEST.local:389
support_ldap.cc(856): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Bind to ldap server with SASL/GSSAPI
support_ldap.cc(870): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Successfully initialised connection to ldap server dc01.TEST.local:389
support_ldap.cc(299): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Search ldap server with bind path "" and filter: (objectclass=*)
support_ldap.cc(569): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Search ldap entries for attribute : schemaNamingContext
support_ldap.cc(615): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: 1 ldap entry found with attribute : schemaNamingContext
support_ldap.cc(308): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Search ldap server with bind path CN=Schema,CN=Configuration,DC=TEST,DC=local and filter: (ldapdisplayname=samaccountname)
support_ldap.cc(311): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Found 1 ldap entry
support_ldap.cc(316): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Determined ldap server as an Active Directory server
support_ldap.cc(978): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Search ldap server with bind path dc=TEST,dc=LOCAL and filter : (samaccountname=student)
support_ldap.cc(991): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Found 1 ldap entry
support_ldap.cc(569): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Search ldap entries for attribute : memberof
support_ldap.cc(615): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: 7 ldap entries found with attribute : memberof
support_ldap.cc(1018): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Entry 1 "TEST-Internet-Standart" in hex UTF-8 is 454c424f522d496e7465726e65742d5374616e64617274
support_ldap.cc(1026): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Entry 1 "TEST-Internet-Standart" matches group name "TEST-Internet-Standart"
support_ldap.cc(1172): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Unbind ldap server
support_member.cc(61): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: INFO: User student is member of group@domain
TEST-Internet-Standart@TEST.LOCAL
OK
kerberos_ldap_group.cc(404): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: OK
Что касается ext_ldap_group_acl то для него я задавал именно контроллеры домена рядышком с ним, не помогало!
После манипуляций и указания контроллера домена да полльзователя он видит и на этом все) acl не работает!