https://www.opennet.ru/openforum/vsluhforumID12/6755.html Собственно сабж.<br>Есть задача сделать прозрачную авторизацию пользователей linux/mac на проксе. для Windows с AD решается нараз - ntlm_auth.<br>Здесь чувствую копать надо в сторону kerberos, но что-то не идёт.<br>На данный момент сеть имеет следующую конфигурацию:<br>есть AD под Win2k3. Оттуда берутся учётки для всех пользователей. процентное соотношение где-то 70/20/10 win/lin/mac. Для автоматической настройки прокси работают GP+WPAD/PAC. Прозрачная авторизация на win идёт на ура. с lin буксует.<br>кусок конфига squid:<br>------------------------------------------<br>auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp<br>auth_param ntlm children 5<br>auth_param ntlm use_ntlm_negotiate on<br><br>auth_param negotiate program /usr/lib/squid3/squid_kerb_auth<br>auth_param negotiate children 5<br>auth_param negotiate keep_alive on<br><br>auth_param basic children 5<br>auth_param basic realm Squid proxy-caching web server<br>auth_param basic credentialsttl 2 hours<br>------------------------------------------<br>при старте https://www.opennet.ru/openforum/vsluhforumID12/6755.html#5 Fri, 23 Dec 2011 18:04:33 GMT &gt;&gt; Если хотите нтлм, то линукс клентов настраивайте соотв образом.<br>&gt; нет ntlm для windows. интересует именно керберос. там видно что сначала идёт <br>&gt; ntlm, потом kerberos? а затем basic <br><br>Об нтлм вы указали в конфиге сквида и здесь.<br>&gt; для Windows с AD решается нараз - ntlm_auth.<br><br>Все же если убрать из сквида ntlm, вендовые клиенты авторузуются прозрачно?<br><br>&gt; А можете по подробнее. просто из того, что я видел и делал <br>&gt; прозрачно пустить клиента по тикету не получалось.<br><br>Я делал все стандартно. Создал на сервере принципал HTTP/ext.school@SCHOOL. squid.keytab положил в доступное сквиду место и задал перед запуском сквида переменную<br>KRB5_KTNAME=/etc/squid/squid.keytab. На клиенте требуется только настройка прокси. Работают фарефокс и хромиум. Насчет других браузеров не знаю: авторизация не совсем тривиальная и поодерживают не все. В фарефоксе есть и дополнительные настройки авторизации negotiate. Можете попробовать задать их.<br>Конфиг сквида похож на ваш<br>auth_param negotiate program /usr/lib/squid/squid_ https://www.opennet.ru/openforum/vsluhforumID12/6755.html#4 Fri, 23 Dec 2011 17:17:35 GMT &gt; Если хотите нтлм, то линукс клентов настраивайте соотв образом.<br><br>нет ntlm для windows. интересует именно керберос. там видно что сначала идёт ntlm, потом kerberos? а затем basic<br>&gt; В точности Вашу схему не использовал. У меня схема: MIT kerberos - <br>&gt; авторизация, openldap - аккаунты. Линукс и виндоус клиенты получают доступ к <br>&gt; сквиду по керберос билетам. Работает без проблем.<br><br>А можете по подробнее. просто из того, что я видел и делал прозрачно пустить клиента по тикету не получалось.<br> https://www.opennet.ru/openforum/vsluhforumID12/6755.html#3 Fri, 23 Dec 2011 15:43:35 GMT &gt; Собственно сабж.<br>&gt; Есть задача сделать прозрачную авторизацию пользователей linux/mac на проксе. для Windows <br>&gt; с AD решается нараз - ntlm_auth.<br>&gt; Здесь чувствую копать надо в сторону kerberos, но что-то не идёт.<br><br>Вы определитесь, какую авторизацию вы хотите - ntlm или kerberos. Локализуйте причину и задавайте более конкретные вопросы. Помгут логи.<br>&gt; /etc/pam.d/common-auth <br>&gt; auth [success=2 default=ignore] pam_unix.so <br>&gt; nullok_secure <br>&gt; auth [success=1 default=ignore] pam_krb5.so <br>&gt; use_first_pass <br><br>Клиенты у Вас авторизуются по керберос, как я понял, напрямую без винбинд (самбы).<br>Если скуид настраиваете на керберос, по проверьте, авторизуются ли виндовые клиенты без ntlm.<br><br>Если хотите нтлм, то линукс клентов настраивайте соотв образом.<br><br>В точности Вашу схему не использовал. У меня схема: MIT kerberos - авторизация, openldap - аккаунты. Линукс и виндоус клиенты получают доступ к сквиду по керберос билетам. Работает без проблем.<br> https://www.opennet.ru/openforum/vsluhforumID12/6755.html#2 Wed, 21 Dec 2011 12:54:27 GMT &gt; Configuring a Squid Server to authenticate from Kerberos <br>&gt; http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos <br>&gt; Squid, Kerberos и LDAP <br>&gt; http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html <br>&gt; squid+ad2008\kerberos+ldap и win7\ie8 <br>&gt; http://www.lissyara.su/?id=2101 <br>&gt; Debian Squeeze, Squid, Kerberos/LDAP аутентификация, интеграция Active Directory и Cyfin <br>&gt; Reporter <br>&gt; http://alldebian.ru/debian-squeeze-squid-kerberosldap-active-directory-cyfin-reporter <br><br>Всё это читано, всё пробовалось, но не получилось. Вы такое реализовывали?<br> https://www.opennet.ru/openforum/vsluhforumID12/6755.html#1 Wed, 21 Dec 2011 12:21:44 GMT Configuring a Squid Server to authenticate from Kerberos<br>http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos<br><br>Squid, Kerberos и LDAP<br>http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html<br><br>squid+ad2008\kerberos+ldap и win7\ie8<br>http://www.lissyara.su/?id=2101<br><br>Debian Squeeze, Squid, Kerberos/LDAP аутентификация, интеграция Active Directory и Cyfin Reporter<br>http://alldebian.ru/debian-squeeze-squid-kerberosldap-active-directory-cyfin-reporter<br><br>