История изменений
Исправление DALDON, (текущая версия) :
Всё сделал как ты описал. По-прежнему вылазит BASIC окно с вводом логина/пароля.
Надо бы наверно как-то подебажить pam_krb5.so. Ты его дебажил когда-нибудь?
Однако, я всё равно прямо таки удивлён, что у тебя в такой схеме всё работает...
В klist то у тебя точно нету ничего?
Посмотри пожалуйста мой конфиг, я буду очень рад, если подскажешь:
root@gateway:~# egrep -v '^(#|$)' /etc/squid3/squid.conf
auth_param basic program /usr/lib/squid3/basic_pam_auth -n squid -t 300 -o
auth_param basic children 1000 startup=5 idle=5
auth_param basic credentialsttl 10800 seconds
auth_param basic realm COMPANY.RU
acl auth proxy_auth REQUIRED
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny !auth
http_access allow auth
http_access deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
http_port 3128
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
root@gateway:~# egrep -v '^(#|$)' /etc/krb5.conf
[appdefaults]
pam = {
debug = false
alt_auth_map = %s
force_alt_auth = true
ticket_lifetime = 24h
renew_lifetime = 24h
forwardable = true
}
[libdefaults]
default_realm = COMPANY.RU
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
ticket_lifetime = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
rdns = false
default_tgs_enctypes = rc4-hmac
default_tkt_enctypes = rc4-hmac
permitted_enctypes = rc4-hmac
[realms]
COMPANY.RU = {
kdc = domainsrv.COMPANY.RU
admin_server = domainsrv.COMPANY.RU
default_domain = COMPANY.RU
}
[domain_realm]
domainsrv.company.ru = COMPANY.RU
.domainsrv.company.ru = COMPANY.RU
root@gateway:~# egrep -v '^(#|$)' /etc/pam.d/squid
auth sufficient pam_krb5.so alt_auth_map=%s@COMPANY.RU
account required pam_krb5.so
Исходная версия DALDON, :
Всё сделал как ты описал. По-прежнему вылазит BASIC окно с вводом логина/пароля.
Надо бы наверно как-то подебажить pam_krb5.so. Ты его дебажил когда-нибудь?
Однако, я всё равно прямо таки удивлён, что у тебя в такой схеме всё работает...
В klist то у тебя точно нету ничего?
Посмотри пожалуйста мой конфиг, я буду очень рад, если подскажешь:
root@gateway:~# egrep -v '^(#|$)' /etc/squid3/squid.conf auth_param basic program /usr/lib/squid3/basic_pam_auth -n squid -t 300 -o auth_param basic children 1000 startup=5 idle=5 auth_param basic credentialsttl 10800 seconds auth_param basic realm COMPANY.RU acl auth proxy_auth REQUIRED acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access deny !auth http_access allow auth http_access deny all http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager http_access allow localhost http_access deny all http_port 3128 coredump_dir /var/spool/squid3 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880 refresh_pattern . 0 20% 4320
root@gateway:~# egrep -v '^(#|$)' /etc/krb5.conf
[appdefaults]
pam = {
debug = false
alt_auth_map = %s
force_alt_auth = true
ticket_lifetime = 24h
renew_lifetime = 24h
forwardable = true
}
[libdefaults]
default_realm = COMPANY.RU
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
ticket_lifetime = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
rdns = false
default_tgs_enctypes = rc4-hmac
default_tkt_enctypes = rc4-hmac
permitted_enctypes = rc4-hmac
[realms]
COMPANY.RU = {
kdc = domainsrv.COMPANY.RU
admin_server = domainsrv.COMPANY.RU
default_domain = COMPANY.RU
}
[domain_realm]
domainsrv.company.ru = COMPANY.RU
.domainsrv.company.ru = COMPANY.RU
root@gateway:~# egrep -v '^(#|$)' /etc/pam.d/squid
auth sufficient pam_krb5.so alt_auth_map=%s@COMPANY.RU
account required pam_krb5.so