squid

Проверка работы групп через винбинд:

echo user groups | /usr/local/libexec/squid/wbinfo_group.pl

SQUID: тестирование kerberos аутентификации

Чтобы проверить в ручном режиме, правильно ли работает аутентификация керберос, делаем следующее:

делаем kinit user@TEST.COM
1. Выполняем negotiate_kerberos_auth_test (где — полное доменное имя нашего прокси) получаем примерно такое на выходе:
> ./negotiate_kerberos_auth_test proxysrv.donmain.local
Token: YIIGCQYGKwYBBQUCoI .. <тут еще много букв> .. xGi0qUBjb7o88HrPgSmWTg==
2. Далее выполняем negotiate_kerberos_auth с ключом и затем водим YR, пробел и далее копируем и вставляем то, что получили на шаге 1, начиная с букв YII и до конца:
> ./negotiate_kerberos_auth
YR YIIGCQYGKwYBBQUCoI .. <тут еще много букв> .. xGi0qUBjb7o88HrPgSmWTg==

Если все сделано правильно, то должно быть сообщение вида:
AF oRQwEqADCgEAoQsGCSqGSIb3EgECAg== HTTP/proxysrv.donmain.local@DOMAIN.LOCAL

Если такого сообщения нет, то шаг 2 можно повторить, но уже с ключом -d, иногда по отладочной информации можно определить в чем проблема.

Если будет сообщение вида TT oRQwEqADCgEAoQsGCSqGSIb3EgECAg==, то значит вы накосячили при создании keytab`а и у вас две учетки с одинаковым servicePrincipalName

PS: Тут еще самое главное не перепутать кейтабы. По-умолчанию ручное тестирование использует кейтаб /etc/krb5.keytab, а сквид может использовать совсем другой, в зависимости от настроек

Запись опубликована в рубрике Новости, Общее. Добавьте в закладки постоянную ссылку.