Авторизация на SQUID через Active Directory на Debian. Реализация Kerberos аутентификации и LDAP авторизации.
Разберем как настроить связь Squid 4.9 c Active Directory через Kerberos аутентификацию и Basic LDAP авторизацию, для предоставления доступа в интернет по доменным учетным записям и разграничение прав согласно заданным группам безопасности Active Directory.
Исходные данные:
- Контроллер домена
DC1
на Windows Server 2012 R2, доменJAKONDA.LOCAL
- Прокси-сервер
squid
на Debian 9 Stretch
Подготовка системы (Debian)
JUQwJTlGJUQwJUI1JUQxJTgwJUQwJUI1JUQwJUI0JTIwJUQwJUJEJUQwJUIwJUQxJTg3JUQwJUIwJUQwJUJCJUQwJUJFJUQwJUJDJTIwJUQwJUIyJUQxJThCJUQwJUJGJUQwJUJFJUQwJUJCJUQwJUJEJUQwJUI1JUQwJUJEJUQwJUI4JUQxJThGJTIwJUQwJUJEJUQwJUI4JUQwJUI2JUQwJUI1JTIwJUQwJUJFJUQwJUJGJUQwJUI4JUQxJTgxJUQwJUIwJUQwJUJEJUQwJUJEJUQxJThCJUQxJTg1JTIwJUQwJUI0JUQwJUI1JUQwJUI5JUQxJTgxJUQxJTgyJUQwJUIyJUQwJUI4JUQwJUI5JTIwJUQwJUJFJUQwJUIxJUQwJUJEJUQwJUJFJUQwJUIyJUQwJUJCJUQxJThGJUQwJUI1JUQwJUJDJTIwJUQxJTgxJUQwJUI4JUQxJTgxJUQxJTgyJUQwJUI1JUQwJUJDJUQxJTgzJTIwJUQwJUI0JUQwJUJFJTIwJUQwJUIwJUQwJUJBJUQxJTgyJUQxJTgzJUQwJUIwJUQwJUJCJUQxJThDJUQwJUJEJUQwJUJFJUQwJUIzJUQwJUJFJTIwJUQxJTgxJUQwJUJFJUQxJTgxJUQxJTgyJUQwJUJFJUQxJThGJUQwJUJEJUQwJUI4JUQxJThGJTNB
apt-get update && apt-get upgrade -y
JUQwJUEzJUQwJUJBJUQwJUIwJUQwJUI3JUQxJThCJUQwJUIyJUQwJUIwJUQwJUI1JUQwJUJDJTIwRlFETiVDMiVBMChGdWxseSUyMFF1YWxpZmllZCUyMERvbWFpbiUyME5hbWUpJUMyJUEwJUQwJUI4JUQwJUJDJUQxJThGJTIwJUQxJTgxJUQwJUI4JUQxJTgxJUQxJTgyJUQwJUI1JUQwJUJDJUQxJThCJTJDJTIwJUQwJUIyJTIwJUQxJTg0JUQwJUIwJUQwJUI5JUQwJUJCJUQwJUI1JTIwJTJGZXRjJTJGaG9zdG5hbWUlM0E=
c3F1aWQuamFrb25kYS5sb2NhbA==
Так же файл /etc/hosts
приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:
127.0.0.1 localhost
MTI3LjAuMS4xJTA5c3F1aWQuamFrb25kYS5sb2NhbCUyMHNxdWlk
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
apt-get install ntp ntpdate
bnRwZGF0ZSUyMGRjMS5qYWtvbmRhLmxvY2Fs
Настройка Active Directory (Windows Server 2012 R2)
JUQwJTkyJTIwRE5TJTIwJUQwJUI3JUQwJUJFJUQwJUJEJUQxJTgzJTIwSkFLT05EQS5MT0NBTCUyQyUyMCVEMCVCNCVEMCVCRSVEMCVCMSVEMCVCMCVEMCVCMiVEMCVCQiVEMSU4RiVEMCVCNSVEMCVCQyUyMEEtJUQwJUI3JUQwJUIwJUQwJUJGJUQwJUI4JUQxJTgxJUQxJThDJTIwJUQwJUJGJUQxJTgwJUQwJUJFJUQwJUJBJUQxJTgxJUQwJUI4LSVEMSU4MSVEMCVCNSVEMSU4MCVEMCVCMiVEMCVCNSVEMSU4MCVEMCVCMCUzQQ==
Создаем служебного пользователя (прим. squid
), с бесконечным срок действия пароля.
Создаем KEYTAB-файл
(необходим для аутентификации пользователей в Active Directory). В командной строке с правами администраторы выполняем команду (соблюдая регистр):
ktpass -princ HTTP/squid.jakonda.local@JAKONDA.LOCAL -mapuser squid@JAKONDA.LOCAL -pass Aa1234567 -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -out C:\squid.keytab
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
Назначаем права доступа на KEYTAB-файл для использования его прокси-сервером:
Y2hvd24lMjBwcm94eSUzQXByb3h5JTIwJTJGZXRjJTJGc3F1aWQlMkZzcXVpZC5rZXl0YWIlMjA=
chmod 640 /etc/squid/squid.keytab
Настройка Kerberos
JUQwJUEzJUQxJTgxJUQxJTgyJUQwJUIwJUQwJUJEJUQwJUJFJUQwJUIyJUQwJUJBJUQwJUIwJTIwJUQwJUJGJUQwJUIwJUQwJUJBJUQwJUI1JUQxJTgyJUQwJUJFJUQwJUIyJTIwJUQwJUI0JUQwJUJCJUQxJThGJTIwJUQwJUJGJUQwJUJFJUQwJUI0JUQwJUI0JUQwJUI1JUQxJTgwJUQwJUI2JUQwJUJBJUQwJUI4JTIwJUQwJUIwJUQxJTgzJUQxJTgyJUQwJUI1JUQwJUJEJUQxJTgyJUQwJUI4JUQxJTg0JUQwJUI4JUQwJUJBJUQwJUIwJUQxJTg2JUQwJUI4JUQwJUI4JTIwS2VyYmVyb3MlM0E=
YXB0LWdldCUyMGluc3RhbGwlMjBrcmI1LXVzZXIlMjBsaWJzYXNsMi1tb2R1bGVzLWdzc2FwaS1taXQ=
JUQwJUE0JUQwJUIwJUQwJUI5JUQwJUJCJTIwJUQwJUJBJUQwJUJFJUQwJUJEJUQxJTg0JUQwJUI4JUQwJUIzJUQxJTgzJUQxJTgwJUQwJUIwJUQxJTg2JUQwJUI4JUQwJUI4JTIwS2VyYmVyb3MlMjAlMkZldGMlMkZrcmI1LmNvbmYlMkMlMjAlRDAlQkYlRDElODAlRDAlQjglRDAlQjIlRDAlQkUlRDAlQjQlRDAlQjglRDAlQkMlMjAlRDAlQkElMjAlRDAlQjIlRDAlQjglRDAlQjQlRDElODMlM0E=
JTVCbG9nZ2luZyU1RA==
JTIwJTIwJTIwJTIwZGVmYXVsdCUyMCUzRCUyMEZJTEUlM0ElMkZ2YXIlMkZsb2clMkZrcmI1bGlicy5sb2c=
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
JTIwJTIwJTIwJTIwZGVmYXVsdF9yZWFsbSUyMCUzRCUyMEpBS09OREEuTE9DQUw=
default_keytab_name = /etc/squid/squid.keytab
dns_lookup_kdc = false
dns_lookup_realm = false
JTIwJTIwJTIwJTIwZm9yd2FyZGFibGUlMjAlM0QlMjB0cnVl
JTIwJTIwJTIwJTIwdGlja2V0X2xpZmV0aW1lJTIwJTNEJTIwMjRo
JTVCcmVhbG1zJTVE
JTIwJTIwJTIwJTIwSkFLT05EQS5MT0NBTCUyMCUzRCUyMCU3QiUyMA==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwa2RjJTIwJTNEJTIwZGMxLmpha29uZGEubG9jYWwlMjA=
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwZGVmYXVsdF9kb21haW4lMjAlM0QlMjBKQUtPTkRBLkxPQ0FMJTIw
admin_server = dc1.jakonda.local
JTIwJTIwJTIwJTIwJTdE
JTVCZG9tYWluX3JlYWxtJTVE
.jakonda.local = JAKONDA.LOCAL
JTIwJTIwJTIwJTIwamFrb25kYS5sb2NhbCUyMCUzRCUyMEpBS09OREEuTE9DQUw=
jakonda.local/JAKONDA.LOCAL
JUQwJTlGJUQxJTgwJUQwJUJFJUQwJUIyJUQwJUI1JUQxJTgwJUQwJUJBJUQwJUIwJTIwJUQxJTgwJUQwJUIwJUQwJUIxJUQwJUJFJUQxJTgyJUQxJThCJTIwS2VyYmVyb3MlMkMlMjAlRDAlQjIlRDElOEIlRDAlQkYlRDAlQkUlRDAlQkIlRDAlQkQlRDAlQjglRDAlQkMlMjAlRDAlQjAlRDAlQjIlRDElODIlRDAlQkUlRDElODAlRDAlQjglRDAlQjclRDAlQjAlRDElODYlRDAlQjglRDElOEUlMjAlRDAlQjIlMjBBY3RpdmUlMjBEaXJlY3RvcnklM0E=
a2luaXQlMjAta1YlMjAtcCUyMEhUVFAlMkZzcXVpZC5qYWtvbmRhLmxvY2Fs
VXNpbmclMjBkZWZhdWx0JTIwY2FjaGUlM0ElMjAlMkZ0bXAlMkZrcmI1Y2NfMA==
Using principal: HTTP/squid.jakonda.local@JAKONDA.LOCAL
QXV0aGVudGljYXRlZCUyMHRvJTIwS2VyYmVyb3MlMjB2NQ==
Удаляем полученный билет:
a2Rlc3Ryb3k=
Настройка Squid
Сперва установим необходимые пакеты для корректной работы механизмов Kerberos и LDAP:
apt-get install libsasl2-modules-gssapi-mit ldap-utils
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
KRB5_KTNAME=/etc/squid/squid.keytab
export KRB5_KTNAME
JUQwJTlGJUQxJTgwJUQwJUI4JUQwJUJDJUQwJUI1JUQwJUJEJUQxJThGJUQwJUI1JUQwJUJDJTIwJUQwJUI4JUQwJUI3JUQwJUJDJUQwJUI1JUQwJUJEJUQwJUI1JUQwJUJEJUQwJUI4JUQxJThGJTIwJUQwJUIyJTIwJUQwJUI0JUQwJUI1JUQwJUJDJUQwJUJFJUQwJUJEJUQwJUI1JTIwJUQwJUI4JTIwJUQwJUJGJUQwJUI1JUQxJTgwJUQwJUI1JUQwJUI3JUQwJUIwJUQwJUJGJUQxJTgzJUQxJTgxJUQwJUJBJUQwJUIwJUQwJUI1JUQwJUJDJTIwc3F1aWQlM0E=
systemctl daemon-reload
JTJGZXRjJTJGaW5pdC5kJTJGc3F1aWQlMjByZXN0YXJ0
Для использования Kerberos аутентификации и LDAP авторизации, необходимо в файле конфигурации /etc/squid/squid.conf
указать следующие параметры:
# ACTIVE DIRECTORY AUTH (KERBEROS)
YXV0aF9wYXJhbSUyMG5lZ290aWF0ZSUyMHByb2dyYW0lMjAlMkZ1c3IlMkZsaWIlMkZzcXVpZCUyRm5lZ290aWF0ZV9rZXJiZXJvc19hdXRoJTIwLXMlMjBIVFRQJTJGc3F1aWQuamFrb25kYS5sb2NhbA==
auth_param negotiate children 30
auth_param negotiate keep_alive on
JTIzJTIwQUNUSVZFJTIwRElSRUNUT1JZJTIwQVVUSCUyMChMREFQKQ==
auth_param basic program /usr/lib/squid/basic_ldap_auth -b "dc=jakonda,dc=local" -P -R -D "squid@jakonda.local" -w "Aa1234567" -f "sAMAccountName=%s" dc1.jakonda.local
auth_param basic realm Squid Basic Auth
auth_param basic children 30
auth_param basic credentialsttl 8 hours
YWNsJTIwYXV0aCUyMHByb3h5X2F1dGglMjBSRVFVSVJFRA==
...
JTIzJTIwaHR0cF9hY2Nlc3MlMjBhbGxvdyUyMGxvY2FsbmV0
# ACTIVE DIRECTORY AUTH USERS
http_access allow auth
http_access allow localnet
необходимо закоментировать либо вовсе удалить из конфигурации.Указанные параметры позволят выход в интернет только авторизованным в Active Directory пользователям. В случае если выход в интернет осуществляется из доменной системы и авторизованным доменным пользователем, то аутентификация будет проходить по методу SSO (Single Sign On), в противном случае будет запрошен ЛОГИН\ПАРОЛЬ (доменной учетной записи) для доступа в интернет.
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
JUQwJUExJUQwJUJGJUQwJUI1JUQxJTgwJUQwJUIyJUQwJUIwJTIwJUQxJTgxJUQwJUJFJUQwJUI3JUQwJUI0JUQwJUIwJUQwJUI0JUQwJUI4JUQwJUJDJTIwJUQwJUIyJTIwQWN0aXZlJTIwRGlyZWN0b3J5JTIwJUQwJUJGJUQxJTgwJUQwJUI4JUQwJUJDLiUyMCVEMSU4MSVEMCVCQiVEMCVCNSVEMCVCNCVEMSU4MyVEMSU4RSVEMSU4OSVEMCVCOCVEMCVCNSUyMCVEMCVCMyVEMSU4MCVEMSU4MyVEMCVCRiVEMCVCRiVEMSU4QiUyMCVEMCVCMSVEMCVCNSVEMCVCNyVEMCVCRSVEMCVCRiVEMCVCMCVEMSU4MSVEMCVCRCVEMCVCRSVEMSU4MSVEMSU4MiVEMCVCOCUzQQ==
- SQUID_FullAccess — Полный доступ
- SQUID_RestrictedAccess — Ограниченный доступ
- SQUID_BlockedAccess — Заблокированный доступ
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
JUQwJTk0JUQwJUJCJUQxJThGJTIwS2VyYmVyb3MlMkMlMjAlRDAlQjIlRDElOEIlRDAlQkYlRDAlQkUlRDAlQkIlRDAlQkQlRDAlQjglRDAlQkMlMjAlRDAlQjclRDAlQjAlRDAlQkYlRDElODAlRDAlQkUlRDElODElM0E=
JTJGdXNyJTJGbGliJTJGc3F1aWQlMkZleHRfa2VyYmVyb3NfbGRhcF9ncm91cF9hY2wlMjAtYSUyMC1pJTIwLWclMjBTUVVJRF9GdWxsQWNjZXNzJTIwLUQlMjBKQUtPTkRBLkxPQ0FM
c3F1aWQ=
a2VyYmVyb3NfbGRhcF9ncm91cC5jYyg0MzIpJTNBJTIwcGlkJTNEMTI3ODclMjAlM0EyMDIwJTJGMDElMkYyOSUyMDE2JTNBMzAlM0E1OSU3QyUyMGtlcmJlcm9zX2xkYXBfZ3JvdXAlM0ElMjBJTkZPJTNBJTIwR290JTIwVXNlciUzQSUyMHNxdWlkJTIwc2V0JTIwZGVmYXVsdCUyMGRvbWFpbiUzQSUyMEpBS09OREEuTE9DQUw=
kerberos_ldap_group.cc(437): pid=12787 :2020/01/29 16:30:59| kerberos_ldap_group: INFO: Got User: squid Domain: JAKONDA.LOCAL
support_member.cc(127): pid=12787 :2020/01/29 16:30:59| kerberos_ldap_group: INFO: User squid is member of group@domain SQUID_FullAccess@NULL
T0s=
JUQwJTk0JUQwJUJCJUQxJThGJTIwQmFzaWMlMjBMREFQJTJDJTIwJUQwJUIyJUQxJThCJUQwJUJGJUQwJUJFJUQwJUJCJUQwJUJEJUQwJUI4JUQwJUJDJTIwJUQwJUI3JUQwJUIwJUQwJUJGJUQxJTgwJUQwJUJFJUQxJTgxJTNB
/usr/lib/squid/ext_ldap_group_acl -b "dc=jakonda,dc=local" -P -R -K -D "squid@jakonda.local" -w "Aa1234567" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%g,OU=Security Groups,DC=jakonda,DC=local))" -h dc1.jakonda.local -d
squid SQUID_FullAccess
ext_ldap_group_acl.cc(589): pid=11760 :Connected OK
ext_ldap_group_acl.cc(736): pid=11760 :group filter '(&(objectclass=person)(sAMAccountName=squid)(memberOf=cn=SQUID_FullAccess,OU=Security Groups,DC=jakonda,DC=local))', searchbase 'dc=jakonda,dc=local'
OK
OK
или же ERR
. В моем случае пользователь squid имеет членство в группе SQUID_FullAccess
Теперь в файле конфигурации /etc/squid/squid.conf
укажем следующие параметры:
JTIzJTIwRVhURU5USU9OJTIwS0VSQkVST1MlMjBHUk9VUCUyMEFVVEg=
ZXh0ZXJuYWxfYWNsX3R5cGUlMjBrZXJiZXJvc19mdWxsX2FjY2VzcyUyMHR0bCUzRDkwMCUyMG5lZ2F0aXZlX3R0bCUzRDkwMCUyMCUyNUxPR0lOJTIwJTJGdXNyJTJGbGliJTJGc3F1aWQlMkZleHRfa2VyYmVyb3NfbGRhcF9ncm91cF9hY2wlMjAtYSUyMC1nJTIwU1FVSURfRnVsbEFjY2VzcyUyMC1EJTIwSkFLT05EQS5MT0NBTA==
ZXh0ZXJuYWxfYWNsX3R5cGUlMjBrZXJiZXJvc19yZXN0cmljdGVkX2FjY2VzcyUyMHR0bCUzRDkwMCUyMG5lZ2F0aXZlX3R0bCUzRDkwMCUyMCUyNUxPR0lOJTIwJTJGdXNyJTJGbGliJTJGc3F1aWQlMkZleHRfa2VyYmVyb3NfbGRhcF9ncm91cF9hY2wlMjAtYSUyMC1nJTIwU1FVSURfUmVzdHJpY3RlZEFjY2VzcyUyMC1EJTIwSkFLT05EQS5MT0NBTA==
external_acl_type kerberos_blocked_access ttl=900 negative_ttl=900 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g SQUID_BlockedAccess -D JAKONDA.LOCAL
# EXTENTION LDAP GROUP AUTH
external_acl_type ldap_group ttl=900 %LOGIN /usr/lib/squid/ext_ldap_group_acl -b "dc=jakonda,dc=local" -P -R -K -D "squid@jakonda.local" -w "Aa1234567" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%g,OU=Security Groups,DC=jakonda,DC=local))" -h dc1.jakonda.local
# ACL KERBEROS GROUP
YWNsJTIwa2VyYmVyb3NfZnVsbF9hY2Nlc3MlMjAlMjAlMjAlMjAlMjAlMjAlMjAlMjAlMjAlMjAlMjAlMjBleHRlcm5hbCUyMGtlcmJlcm9zX2Z1bGxfYWNjZXNz
acl kerberos_restricted_access external kerberos_restricted_access
YWNsJTIwa2VyYmVyb3NfYmxvY2tlZF9hY2Nlc3MlMjAlMjAlMjAlMjAlMjAlMjAlMjAlMjAlMjBleHRlcm5hbCUyMGtlcmJlcm9zX2Jsb2NrZWRfYWNjZXNz
# ACL LDAP GROUP
YWNsJTIwbGRhcF9mdWxsX2FjY2VzcyUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMGV4dGVybmFsJTIwbGRhcF9ncm91cCUyMFNRVUlEX0Z1bGxBY2Nlc3M=
acl ldap_restricted_access external ldap_group SQUID_RestrictedAccess
YWNsJTIwbGRhcF9ibG9ja2VkX2FjY2VzcyUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMCUyMGV4dGVybmFsJTIwbGRhcF9ncm91cCUyMFNRVUlEX0Jsb2NrZWRBY2Nlc3M=
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
Зададим порядок обработки определенных выше ACL:
aHR0cF9hY2Nlc3MlMjBhbGxvdyUyMGtlcmJlcm9zX2Z1bGxfYWNjZXNz
aHR0cF9hY2Nlc3MlMjBhbGxvdyUyMGxkYXBfZnVsbF9hY2Nlc3M=
aHR0cF9hY2Nlc3MlMjBkZW55JTIwa2VyYmVyb3NfYmxvY2tlZF9hY2Nlc3M=
http_access deny ldap_blocked_access
aHR0cF9hY2Nlc3MlMjBkZW55JTIwa2VyYmVyb3NfcmVzdHJpY3RlZF9hY2Nlc3MlMjAhYWxsb3dlZHNpdGVz
aHR0cF9hY2Nlc3MlMjBkZW55JTIwbGRhcF9yZXN0cmljdGVkX2FjY2VzcyUyMCFhbGxvd2Vkc2l0ZXM=
http_access deny blockedsites
aHR0cF9hY2Nlc3MlMjBkZW55JTIwYmxvY2tlZHNpdGVz
aHR0cF9hY2Nlc3MlMjBhbGxvdyUyMGF1dGg=
http_access deny all
JUQwJTlGJUQxJTgwJUQwJUI4JUQwJUJDJUQwJUI1JUQwJUJEJUQxJThGJUQwJUI1JUQwJUJDJTIwJUQwJUIyJUQwJUJEJUQwJUI1JUQxJTgxJUQwJUI1JUQwJUJEJUQwJUJEJUQxJThCJUQwJUI1JTIwJUQwJUI4JUQwJUI3JUQwJUJDJUQwJUI1JUQwJUJEJUQwJUI1JUQwJUJEJUQwJUI4JUQxJThGJTIwJUQwJUIyJTIwJUQxJTg0JUQwJUIwJUQwJUI5JUQwJUJCJTIwJUQwJUJBJUQwJUJFJUQwJUJEJUQxJTg0JUQwJUI4JUQwJUIzJUQxJTgzJUQxJTgwJUQwJUIwJUQxJTg2JUQwJUI4JUQwJUI4JTNB
/etc/init.d/squid reload
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
transparent
) режиме, аутентификация пользователей Active Directory невозможна! Подробнее: http://wiki.squid-cache.org/Features/Authentication#Authentication_in_interception_and_transparent_modesПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ
Важно использовать имя хоста (FQDN) в настройках прокси, а не ip. У меня такая же проблема была.
Добрый день.
Столкнулся с проблемой.
При блокировке ресурса выходит окно авторизации (407). В фаили cache.log.
kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
current master transaction: master19830
При этом авторизация настроена kerberos.
Как то можно выключить проверку NTLM. Что бы этого запроса не было, а был ответ 403?
В остальном все работает.
Squid 5.5+Kerberos+ssl
ось Ubuntu 20.04
Все ясно расписано. Поклон автору
С точки зрения «debian way» гораздо править не /etc/init.d/squid и потом делать systemctl daemon-reload, а всякую такую кустарщину вносить в /etc/default/squid.
В init.d-скриптах (как правило) проверяется наличие такого файла и выполняется его содержимое.
ktpass -princ HTTP/datastore1.jakonda.local@JAKONDA.LOCAL -mapuser datastore1@JAKONDA.LOCAL -pass Aa1234567 -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -out C:\datastore1.keytab
здесь «datastore1» — это что?!!!
поправил, там должно быть в моем случае вместо datastore1 — squid. У вас название машины может отличаться, там нужно указывать какое имя машины вы указываете.
Добрый день!
Понятный, грамотный мануал. При AD авторизации сайты очень долго открываются, в /var/log/squid/access.log появляются ошибки TCP Denided 407
1610023854.673 1 192.168.131.2 TCP_DENIED/407 4189 CONNECT pixel.rubiconproject.com:443 — HIER_NONE/- text/html
1610023855.474 1 192.168.131.2 TCP_DENIED/407 4173 CONNECT dsum.casalemedia.com:443 — HIER_NONE/- text/html
1610023855.645 1 192.168.131.2 TCP_DENIED/407 4133 CONNECT rtb.com.ru:443 — HIER_NONE/- text/html
1610023858.774 1 192.168.131.2 TCP_DENIED/407 4169 CONNECT cdn.static.zdbb.net:443 — HIER_NONE/- text/html
1610023858.918 6246 192.168.131.2 TCP_TUNNEL/200 5889 CONNECT sync.ipredictive.com:443 пользователь@ДОМЕН HIER_DIRECT/52.200.246.203 —
1610023858.923 3385 192.168.131.2 TCP_TUNNEL/200 6015 CONNECT dsum.casalemedia.com:443 пользователь@ДОМЕН HIER_DIRECT/23.40.124.248 —
1610023858.952 1 192.168.131.2 TCP_DENIED/407 4161 CONNECT stags.bluekai.com:443 — HIER_NONE/- text/html
1610023858.954 1 192.168.131.2 TCP_DENIED/407 4193 CONNECT tpc.googlesyndication.com:443 — HIER_NONE/- text/html
1610023859.109 6378 192.168.131.2 TCP_TUNNEL/200 8019 CONNECT pixel.rubiconproject.com:443 пользователь@ДОМЕН HIER_DIRECT/69.173.144.165 —
1610023859.133 1 192.168.131.2 TCP_DENIED/407 4141 CONNECT cdn.krxd.net:443 — HIER_NONE/- text/html
1610023859.525 6617 192.168.131.2 TCP_TUNNEL/200 4059 CONNECT pixel-a.sitescout.com:443 пользователь@ДОМЕН HIER_DIRECT/66.155.71.25 —
1610023859.868 4151 192.168.131.2 TCP_TUNNEL/200 460 CONNECT rtb.com.ru:443 пользователь@ДОМЕН HIER_DIRECT/83.222.114.190 —
1610023859.882 1 192.168.131.2 TCP_DENIED/407 4153 CONNECT beacon.krxd.net:443 — HIER_NONE/- text/html
1610023859.885 0 192.168.131.2 TCP_DENIED/407 4157 CONNECT idsync.rlcdn.com:443 — HIER_NONE/- text/html
1610023861.024 8366 192.168.131.2 TCP_TUNNEL/200 3877 CONNECT ad.turn.com:443 пользователь@ДОМЕН HIER_DIRECT/46.228.164.11 —
Система Ubuntu Server 16.04.6 LTS squid 4.13
Подскажите пожалуйста как ускорить загрузку сайтов
впринципе внятный мануал, правда я собирал кальмара из исходников на 9.13, сам кальмар 4.13, единственное это был бы внятный мануал по sams2 на сборку из исходников, увы все разрабы забили на ротаторы логов под кальмара, что увы печально(
Здравствуйте! не сталкивались с такой ошибкой cache.log:
negotiate_kerberos_auth.cc(612): pid=1493 :2020/06/11 13:30:33| negotiate_kerberos_auth: DEBUG: Got ‘YR YII…HcA==’ from squid (length: 5659).
negotiate_kerberos_auth.cc(679): pid=1493 :2020/06/11 13:30:33| negotiate_kerberos_auth: DEBUG: Decode ‘YII…HcA==’ (decoded length estimate: 4242).
negotiate_kerberos_auth.cc(182): pid=1493 :2020/06/11 13:30:33| negotiate_kerberos_auth: ERROR: gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. Encryption type not permitted
2020/06/11 13:30:33| negotiate_kerberos_auth: INFO: User not authenticated
2020/06/11 13:30:33 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. Encryption type not permitted; }}
система CenOS 8, squid 4.4
Отличный мануал! Лучший во всем инете! Спасибо!!!
Спасибо! Рад что он помог вам!