Ошибки хелпера ext_kerberos_ldap_group_acl

Ответить
Аватара пользователя
Mirgen
Сообщения: 3
Зарегистрирован: 14 июл 2021 17:43
Контактная информация:

Ошибки хелпера ext_kerberos_ldap_group_acl

Сообщение Mirgen »

Здравствуйте!
Не могу настроить работу хелпера сквида ext_kerberos_ldap_group_acl в тестовой среде.

Начальные данные:
1. Прокси сервер - ось debian 10 buster 64 bit
- squid 4.6-1 - собран из исходников для поддержки ssl
- имя хоста прокси сервера - debian-10-guest
2. Контролер домена ось - Windows server 2012 R2 64 bit - со всеми ролями FSMO и службой DNS
FQDN домена - mi.local
FQDN контролера домена dc.mi.local
3. Рабочая станция клиент Windows 10 64 bit

Все хосты работают из под Virtual Box, сетевые карты виртуальных машин подключены до маршрутизатора типом соединения "мост". Все хосты находятся в одной подсети 192.168.1.0/24, все имеют статические параметры tcp\ip, служба dhcp отсутствует. Все хосты находятся в домене mi.local Все внутренние и внешние днс запросы у всех машин резолвятся. В днс службе для всех машин в прямой и обратной зоне записи созданы, соответственно A и PTR записи. Прокси сервер и клиент время с контролером домена синхронизируют. Контролер тянет время из внешнего источника.

Начало конфига сквида
начало конфига сквида.png
начало конфига сквида.png (194.8 КБ) 22424 просмотра
Конец конфига сквида
конец конфига сквида.png
конец конфига сквида.png (65.65 КБ) 22424 просмотра
Krb5.conf
krb5.conf.png
krb5.conf.png (38.95 КБ) 22424 просмотра
sssd.conf
sssd.conf.png
sssd.conf.png (66.89 КБ) 22424 просмотра
cache.log
cache.log.png
cache.log.png (151.51 КБ) 22424 просмотра
Не подскажитете, что за ошибки в скрине cache.log и как их побороть?
Дело в том, что хелпер ext_kerberos_ldap_group_acl не может правильно определить членство пользователя в группе AD и всегда даёт результат, что пользователя нет в группе, из-за чего не могу выстроить правильную логику работы по разграничениям доступа в интернет.
Аватара пользователя
Mirgen
Сообщения: 3
Зарегистрирован: 14 июл 2021 17:43
Контактная информация:

Re: Ошибки хелпера ext_kerberos_ldap_group_acl

Сообщение Mirgen »

Интересно, что хелпер ext_kerberos_ldap_group_acl при запуске в терминале из под root корректно отрабатывает.
В первом выводе команды пользователь ivandaev член группы internet-low, во втором выводе ivandaev не член группы inet-full, что соответствует действительности.
root ext_kerberos_ldap_group_acl.png
root ext_kerberos_ldap_group_acl.png (59.42 КБ) 22423 просмотра
Аватара пользователя
Mirgen
Сообщения: 3
Зарегистрирован: 14 июл 2021 17:43
Контактная информация:

Re: Ошибки хелпера ext_kerberos_ldap_group_acl

Сообщение Mirgen »

Все тему можно закрывать. Дал права на чтение и выполнение всем файла /etc/krb5.keytab
#chmod 755 /etc/krb5.keytab
Ответить

Вернуться в «Прокси-сервер Squid»