» FreeBSD84 + Squid + Kerberos for W2008R2

Доброго времени суток!

У меня как всегда нетривиальная задачка, на этот раз - завязать в одной упряжке Freebsd и Win2008 R2, завести сервер с FreeBSD в домен под управлением
WIN 2008 R2 server, чтобы обеспечить проверку пользователей которые в будущем будут
пользоваться proxy сервером squid. необходимо настроить схему проверки SSO в домене.

Сразу оговорюсь - basic аторизация в домене работает как надо.

по части sambы вроде все работает как надо.
время с контролллером домена синхронизировано до секунды.
команды: wbinfo -g, u, t, p, a - отрабатывает,
через kinit и по имени и по keytab заходит (по кейтаб principal HTTP/xxx)
klist -kt - показывает все правильно,
правда через ktutil только принципал HTTP/ - отображает


Проблема в том, что ему принципала HTTP/xxx недостаточно, не может найти принципал HOST/xxx

Установил FreeBSD83 сделал бинарное обновление до версии 84, т.к. выяснилось что линейка портов версии 83 более не поддерживается.

Установил samba 3.6.25
Установил squid 3.5.3
ARP; AUTH_LDAP; AUTH_NIS; AUTH_SASL; AUTH_SMB; CACHE_DIDGEST; DELAY_POOLS; HTCP; ICAP; ICMP; IDENT; WCCP

Установил heimdal 1.5.3_4

уже недели 2 бьюсь - до последнего этапа добрался, победить пока не получается.
если нужна дополнительная информация - выложу...

Парни? I need your help!

vladkic
Я с kerberos на ВЫ. Но почему бы не обойтись обычной NTLM аутентификацией?
Выглядеть будет как-то так:
Цитата:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 15

auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -D squidreader@localdomain.ru -W /etc/squid3/adpw.txt -b "dc=localdomain,dc=ru" -f "sAMAccountName=%s" 192.168.0.3
auth_param basic realm Localdomain access control

external_acl_type ldap_users %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=localdomain,dc=ru" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=groups,ou=localdomain,dc=localdomain,dc=ru))" -D squidreader@localdomain.ru -W /etc/squid3/adpw.txt 192.168.0.3

Правда не все браузеры умеют работать с NTLM аутентификацией.

p.s. Все пути указаны в Debian 6, squid 3.1.6 (да всё старое, но и делал я это 5лет назад, до сих пор работает)

Возможно я ошибаюсь, но насколько я знаю пароли через NTLM в открытом виде передаются,
и второй момент - пробовал я эту связку, у меня окошко в WIN7, в браузере постоянно появляется с просьбой ввести пароль. Я уже даже basic авторизацию пробовал отключать - не хочет NTLM работать. Настройки в свойствах подключения браузера прописаны: fbsd.mydomain.com:3128,
в IE в св-вах браузера -> дополнительно - убрал галочку разрешать встроенную проверку подлинности Wibdows.

vladkic
NTLM не шлёт пароли в открытом виде.

Цитата:

в IE в св-вах браузера -> дополнительно - убрал галочку разрешать встроенную проверку подлинности Wibdows.

а это зачем? В IE точно нормально работает NTLM аутентификация.

К сожалению, с Kerberos билетами я Вам не помогу. Сказал всё что знал по данному вопросу.