Проверка работы групп через винбинд:
echo user groups | /usr/local/libexec/squid/wbinfo_group.pl
SQUID: тестирование kerberos аутентификации
Чтобы проверить в ручном режиме, правильно ли работает аутентификация керберос, делаем следующее:
делаем kinit user@TEST.COM
1. Выполняем negotiate_kerberos_auth_test (где — полное доменное имя нашего прокси) получаем примерно такое на выходе:
> ./negotiate_kerberos_auth_test proxysrv.donmain.local
Token: YIIGCQYGKwYBBQUCoI .. <тут еще много букв> .. xGi0qUBjb7o88HrPgSmWTg==
2. Далее выполняем negotiate_kerberos_auth с ключом и затем водим YR, пробел и далее копируем и вставляем то, что получили на шаге 1, начиная с букв YII и до конца:
> ./negotiate_kerberos_auth
YR YIIGCQYGKwYBBQUCoI .. <тут еще много букв> .. xGi0qUBjb7o88HrPgSmWTg==
Если все сделано правильно, то должно быть сообщение вида:
AF oRQwEqADCgEAoQsGCSqGSIb3EgECAg== HTTP/proxysrv.donmain.local@DOMAIN.LOCAL
Если такого сообщения нет, то шаг 2 можно повторить, но уже с ключом -d, иногда по отладочной информации можно определить в чем проблема.
Если будет сообщение вида TT oRQwEqADCgEAoQsGCSqGSIb3EgECAg==, то значит вы накосячили при создании keytab`а и у вас две учетки с одинаковым servicePrincipalName
PS: Тут еще самое главное не перепутать кейтабы. По-умолчанию ручное тестирование использует кейтаб /etc/krb5.keytab, а сквид может использовать совсем другой, в зависимости от настроек