LINUX.ORG.RU
ФорумAdmin

Squid, Winbind, LDAP, Kerberos

 , , , ,


0

1

Совершенно сам по себе, сквид помре.

Ситуация такова:

rootroot@ferrum:~$ sudo service squid3 start
squid3 start/running, process 2684
rootroot@ferrum:~$ dmesg |tail
[ 3540.088118] init: squid3 main process (2720) terminated with status 1
[ 3540.088168] init: squid3 main process ended, respawning
[ 3540.117905] init: squid3 main process (2726) terminated with status 1
[ 3540.117953] init: squid3 main process ended, respawning
[ 3540.147177] init: squid3 main process (2732) terminated with status 1
[ 3540.147224] init: squid3 main process ended, respawning
[ 3540.176479] init: squid3 main process (2738) terminated with status 1
[ 3540.176540] init: squid3 main process ended, respawning
[ 3540.205686] init: squid3 main process (2744) terminated with status 1
[ 3540.205733] init: squid3 respawning too fast, stopped
rootroot@ferrum:~$ wbinfo -t
checking the trust secret for domain RU001110 via RPC calls failed
failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not check secret
 
rootroot@ferrum:~$ wbinfo -p
Ping to winbindd succeeded

krb5.conf

http://pastebin.com/6AmJtQF0

smbd.conf совсем стандартный, подставил только домен.

squid.conf (замена конфига на дефолтный ничего не изменила)

http://pastebin.com/U6rxKNrL

resolv.conf

http://pastebin.com/GDDwtqxv

Есть идеи? Сдаётся мне, что чего-то тупит винбинд. А чего, как, почему? Тикет получает, например, в домен присоединяется, пингует всё...

rootroot@ferrum:~$ uname -a Linux ferrum 3.5.0-32-generic #53~precise1-Ubuntu SMP Wed May 29 20:35:31 UTC 2013 i686 i686 i386 GNU/Linux


winbind там нафиг? юзай керберос для авторизации и squid_ldap_group для считывания групп пользователей. Этого достаточно для работы.

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

Спасибо огромное! Лёгкий гуглинг по keyword'ам вывел меня на изумительный гайд от женщины-одмина, буду курить маны. Самое замечтательное в этом всём то, что пользак ничего не будет знать, прозрачно и красиво, например. Супер! Всего самого доброго тебе, blind_oracle!

Umart ()
Ответ на: комментарий от dexpl

гайд от женщины-одмина

о да, такое надо иметь в закромах =)

Atlant ★★★★★ ()
Ответ на: комментарий от anton_jugatsu

Вот по керберосу с офф сайта сквида: http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos

По squid_ldap_group вообще всё просто, вот кусок моего конфига, LDAP - виндовый Active Directory:

external_acl_type squid_ldap %LOGIN /opt/squid/libexec/ext_ldap_group_acl -b "OU=Пользователи,DC=domain,DC=ru" -s sub -D CN=service_ldap_ro,CN=Users,DC=domain,DC=ru -W /etc/squid/ldap.password -R -H ldap://192.168.192.18 -v 3 -S -K -f "(&(sAMAccountName=%u)(memberOf=%g))"
acl proxy_full_access external squid_ldap CN=proxy_full_access,OU=Proxy,OU=Groups,DC=domain,DC=ru
acl proxy_no_access external squid_ldap CN=proxy_no_access,OU=Proxy,OU=Groups,DC=domain,DC=ru
В файл /etc/squid/ldap.password кладешь пароль юзера, которым подключаешься к LDAP (в моем случае - service_ldap_ro)

blind_oracle ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.