Вечер добрый господа. Не знал куда ещё обратиться решил отписаться тут,а столкнулся с такой проблемой. В сети есть домен mycompany.local с контролером домена dc1.mycompany.local и недавно появившемся дочерним доменом child.mycompany. Также стоит debian на котором стоит squid, авторизация в нём проходи средствами kerberos. То есть в ad есть несколько групп которые проверяет squid_ldap_group на наличие там пользователя который лезит в интернет. В случае с доменом родителем работает всё прекрасно, но с дочерним доменом бьюсь уже довольно долго. Пробовал из полезного: 1)Создать в основном домене универсальную группу users1 в которую добавил пользователей из дочернего домена 2)Пробовал создать на дочернем домене глобальную группу и добавить её в users1 на основном контролере. Из бесполезного: 1)много чего :(

На самом деле дело до авторизации кербероса даже не дошло, а ступор получился на проверки пользователя в группе запросом приведённым ниже.

/usr/lib/squid3/squid_ldap_group -R -d -b "dc=mycompany,dc=local"  -f  "(&(objectClass=user)(sAMAccountName=%v)(memberof=cn=%a,ou=lnternet,ou=Groups,dc=mycompani,dc=local))"  -D squid@mycompani.local -K -W /etc/squid3/aduser dc1.mycompani.nso.local

Собственно когда ищем пользователя из основного домена всё хорошо.

testdc1 user1
Connected OK
group filter '(&(objectClass=user)(sAMAccountName=testdc1)(memberof=cn=user1,ou=lnternet,ou=Groups,dc=mycompany,dc=local))', searchbase 'dc=mycompany,dc=local'
OK

А когда ищем в этой же группе пользователя из дочернего домена(который там есть) получаем это.

childtest user1
Connected OK
group filter '(&(objectClass=user)(sAMAccountName=childtest)(memberof=cn=user1,ou=lnternet,ou=Groups,dc=mycompany,dc=local))', searchbase 'dc=mycompany,dc=local'
ERR