Kerberos проблема настройки. Squid + AD.
Доброго всем времени суток.
Инфо о системе: CentOS 6.7 x64 SQUID 3.5.11 AD Windows 2008
Сквид работает отлично. Авторизация NTLM. Но вот беда хром в 47ой версии рушит всё счастье.
Помогите настроить Kerberos авторизацию.
Думаю что моя ошибка где то на стороне Windows AD.
Получаю keytab файл:
ktpass -princ HTTP/sq.mydomain.name@MYDOMAIN.NAME -mapuser squid3 -pass Pa$$word123 -ptype KRB5_NT_PRINCIPAL -out C:\123\squid3.keytab
Вроде бы все верно. Милион статей с этой командой.
Возможно моя ошибка в неправильном файле krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = MYDOMAIN.NAME
dns_lookup_realm = no
dns_lookup_kdc = no
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
default_tgs_enctypes = aes256-cts-hmac-sha1-96 arcfour-rc4-md5 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 arcfour-rc4-md5 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 arcfour-rc4-md5 rc4-hmac des-cbc-crc des-cbc-md5
default_keytab_name = /etc/squid/squid3.keytab
[realms]
MYDOMAIN.NAME = {
kdc = ad1.mydomain.name
kdc = ad2.mydomain.name
admin_server = ad1.mydomain.name
default_domain = mydomain.name
}
[domain_realm]
.mydomain.name = MYDOMAIN.NAME
mydomain.name = MYDOMAIN.NAME
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifegime = 36000
forwardable = true
krb4_conver = false
}
Сомневаюсь только в enctypes параметрах. Перебирал разные варианты.
Проверяю работоспособность этой командой
kinit -V -k -t /etc/squid/squid3.keytab HTTP/sq.mydomain.name@MYDOMAIN.NAME
И вот моя ошибка:
kinit: Keytab contains no suitable keys for HTTP/sq.mydomain.name@MYDOMAIN.NAME while getting initial credentials
Пробовал получать keytab файл через msktutils. Время сихронизированно, resolv.conf правильный.
Может есть у более опытных товарищей какие либо идеи? Спасибо за любую помощь и участие в обсуждении.