squid с авторизацией kerboros

Автор flaxe, 14 сентября 2023, 05:09:06

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователя

flaxe

14 сентября 2023, 05:09:06
Доброго дня.
Не могу найти как разрулить следующиее поведение при авторизации squid через ext_kerberos_ldap_group_acl, веду опрос каждой группы домена. По группам пользователи поулчают доступы к различным сайтам.

Выдержки с кофнигов:
squid.conf:
Код Выделить
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -s HTTP/squid.mydomain.local@MYDOMAIN.LOACAL
auth_param negotiate children 100 startup=0 idle=10 concurrency=2
auth_param negotiate keep_alive on

external_acl_type groupe_name1 ttl=72000 negative_ttl=72000 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g groupe_name1 -D MYDOMAIN.LOCAL
external_acl_type groupe_name2 ttl=72000 negative_ttl=72000 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g groupe_name2 -D MYDOMAIN.LOCAL

acl groupe_name1 external groupe_name1
acl groupe_name2 external groupe_name2

http_access allow groupe_name1 db-name1
http_access allow groupe_name2 db-name2

krb5.conf:
Код Выделить
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = MYDOMAIN.LOCAL
 default_keytab_name = /etc/squid/squid.keytab
 dns_lookup_kdc = false
 dns_lookup_realm = false
 forwardable = true
 ticket_lifetime = 24h

[realms]
 MED.LOCAL = {
 kdc = kdc01.mydomain.local
 kdc = kdc02.mydomain.local
 admin_server = kdc02.mydomain.local
 default_domain = MYDOMAIN.LOCAL
}
[domain_realm]
 .mydomain.local = MYDOMAIN.LOCAL
 mydomain.local = MYDOMAIN.LOCAL


Авторизация работает все замечательно.
Но у меня есть kdc03.mydomain.local - который должен находиться в удаленой сети, и на него по идеи не должен идти трафик авторизации с squid сервера. Потому что в пике рестарта прокси нагрузка на kdc у меня возрастает до 100Мб/с потом падает потому что кеш на 20 часов стоит. Но в случае если kdc03 не отвечает стабильно, прокси начинает дико тормозить и перестает производить авторизацию пользоватеелей. kdc03 - вынесет как отдельный сайт в домене. Менял приоритеты записей srv на DNS и все не помогает.. возможно кто еще эксплуатирует при высоких нагрузках и такой авторизации.. поделитесь куда еще можно копнуть.

debian 11
Squid  Version 4.13
Печать
Вверх Страницы1
Действия пользователя