Я выполнил шаги, указанные по ссылке: https://journeyofthegeek.com/2017/12/30/pfsense-squid-kerberos/
И проверка подлинности Kerberos без ограничения членства в группе AD работает очень хорошо, но я не хочу, чтобы все пользователи имели доступ в Интернет. Я хочу, чтобы доступ имели только пользователи из группы Internet_access AD. Я сделал модификацию, но она не работает. Вот подробности:
Версия PFSense 2.4.2
Установленные пакеты: Кальмар
Файл конфигурации Kerberos (/etc/krb5.conf):
[libdefaults]
default_realm = DOMAIN.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = true
kdc_timesync = 1
ccache_type = 4
forwardable = yes
rdns = no
default_keytab_name = /path/to/squid.keytab
default_tgs_enctypes = aes128-cts-hmac-sha1-96
default_tkt_enctypes = aes128-cts-hmac-sha1-96
permitted_enctypes = aes128-cts-hmac-sha1-96
clock_skew = 300
[realms]
DOMAIN.LOCAL = {
kdc = server.domain.local
admin_server = server.domain.local
default_domain = DOMAIN.LOCAL
}
[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL
[logging]
kdc = FILE:/var/log/kdc.log
Default = FILE:/var/log/krb5lib.log
Модификация файла конфигурации Squid (Пользовательские параметры (до аутентификации) в конфигурации веб-интерфейса PFSense Squid):
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -s HTTP/proxyserver.domain.local auth_param negotiate children 1000 auth_param negotiate keep_alive on external_acl_type kerberos_group ttl=3600 negative_ttl=3600 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -a -g Internet_access -D DOMAIN.LOCAL acl auth proxy_auth REQUIRED acl GroupProxy external kerberos_group http_access deny !auth http_access allow GroupProxy auth http_access deny all
Я думаю что проблема может быть в ext_kerberos_ldap_group_acl команда, которая всегда возвращается «ERR Неверный запрос. Нет имени пользователя» при запуске в CLI, независимо от его аргументов. Я исследовал domumentation, но никакой реальной помощи оттуда нет. Также я не могу найти сценарий инициализации squid в PFsense, поэтому могу установить переменные KRB5_KTNAME и KRB5_CONFIG.
Я был бы очень благодарен, если есть какие-то объяснения, как добиться успеха в этой конфигурации.