Ошибки хелпера ext_kerberos_ldap_group_acl

Ответить
Аватара пользователя
Mirgen
Сообщения: 3
Зарегистрирован: 14 июл 2021 17:43
Контактная информация:

Ошибки хелпера ext_kerberos_ldap_group_acl

Сообщение Mirgen » 17 июл 2021 07:01

Здравствуйте!
Не могу настроить работу хелпера сквида ext_kerberos_ldap_group_acl в тестовой среде.

Начальные данные:
1. Прокси сервер - ось debian 10 buster 64 bit
- squid 4.6-1 - собран из исходников для поддержки ssl
- имя хоста прокси сервера - debian-10-guest
2. Контролер домена ось - Windows server 2012 R2 64 bit - со всеми ролями FSMO и службой DNS
FQDN домена - mi.local
FQDN контролера домена dc.mi.local
3. Рабочая станция клиент Windows 10 64 bit

Все хосты работают из под Virtual Box, сетевые карты виртуальных машин подключены до маршрутизатора типом соединения "мост". Все хосты находятся в одной подсети 192.168.1.0/24, все имеют статические параметры tcp\ip, служба dhcp отсутствует. Все хосты находятся в домене mi.local Все внутренние и внешние днс запросы у всех машин резолвятся. В днс службе для всех машин в прямой и обратной зоне записи созданы, соответственно A и PTR записи. Прокси сервер и клиент время с контролером домена синхронизируют. Контролер тянет время из внешнего источника.

Начало конфига сквида
начало конфига сквида.png
начало конфига сквида.png (194.8 КБ) 39 просмотров
Конец конфига сквида
конец конфига сквида.png
конец конфига сквида.png (65.65 КБ) 39 просмотров
Krb5.conf
krb5.conf.png
krb5.conf.png (38.95 КБ) 39 просмотров
sssd.conf
sssd.conf.png
sssd.conf.png (66.89 КБ) 39 просмотров
cache.log
cache.log.png
cache.log.png (151.51 КБ) 39 просмотров
Не подскажитете, что за ошибки в скрине cache.log и как их побороть?
Дело в том, что хелпер ext_kerberos_ldap_group_acl не может правильно определить членство пользователя в группе AD и всегда даёт результат, что пользователя нет в группе, из-за чего не могу выстроить правильную логику работы по разграничениям доступа в интернет.

Аватара пользователя
Mirgen
Сообщения: 3
Зарегистрирован: 14 июл 2021 17:43
Контактная информация:

Re: Ошибки хелпера ext_kerberos_ldap_group_acl

Сообщение Mirgen » 17 июл 2021 07:03

Интересно, что хелпер ext_kerberos_ldap_group_acl при запуске в терминале из под root корректно отрабатывает.
В первом выводе команды пользователь ivandaev член группы internet-low, во втором выводе ivandaev не член группы inet-full, что соответствует действительности.
root ext_kerberos_ldap_group_acl.png
root ext_kerberos_ldap_group_acl.png (59.42 КБ) 38 просмотров

Аватара пользователя
Mirgen
Сообщения: 3
Зарегистрирован: 14 июл 2021 17:43
Контактная информация:

Re: Ошибки хелпера ext_kerberos_ldap_group_acl

Сообщение Mirgen » 17 июл 2021 13:36

Все тему можно закрывать. Дал права на чтение и выполнение всем файла /etc/krb5.keytab
#chmod 755 /etc/krb5.keytab

Ответить

Вернуться в «Прокси-сервер Squid»