Squid-Dienst für Kerberos-Authentifizierung konfigurieren
13. Dezember 2023
ID 166440
Diese Anweisung wird verwendet, wenn Kaspersky Web Traffic Security aus einem rpm- oder deb-Paket in einem bestehenden Betriebssystem installiert wurde.
Wenn Sie die Authentifizierung mit einer Domäne konfigurieren, deren Name die Stammdomäne .local
enthält, müssen zunächst bestimmte Aktionen im Betriebssystem ausgeführt werden, damit die Kerberos-Authentifizierung ordnungsgemäß funktioniert.
Gehen Sie wie folgt vor, um den Squid-Dienst für Kerberos-Authentifizierung zu konfigurieren:
- Wenn Sie CentOS Version 8.x oder Red Hat Enterprise Linux Version 8.x verwenden, konfigurieren Sie eine Richtlinie für die Verwendung kryptografischer Algorithmen. Führen Sie dazu den folgenden Befehl aus:
update-crypto-policies --set LEGACY
- Kopieren Sie die Datei squid.keytab in das Verzeichnis /etc/squid/.
- Konfigurieren Sie den Zugriff auf die keytab-Datei. Führen Sie dazu je nach verwendetem Betriebssystem folgende Befehle aus:
- CentOS, Red Hat Enterprise Linux oder SUSE Linux Enterprise Server:
chown squid:squid /etc/squid/squid.keytab
chmod 400 /etc/squid/squid.keytab
- Ubuntu, Debian oder AltServer:
chown proxy:proxy /etc/squid/squid.keytab
chmod 400 /etc/squid/squid.keytab
Standardmäßig ist der Superuser Inhaber der Datei krb5.keytab.
- CentOS, Red Hat Enterprise Linux oder SUSE Linux Enterprise Server:
- Fügen Sie am Anfang der Datei /etc/squid/squid.conf je nach verwendetem Betriebssystem die folgenden Parameter hinzu:
- CentOS oder Red Hat Enterprise Linux:
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname in Großbuchstaben>
auth_param negotiate children 100 startup=0 idle=10
auth_param negotiate keep_alive on
acl authenticated_user proxy_auth REQUIRED
http_access deny !authenticated_user
- SUSE Linux Enterprise Server:
auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname in Großbuchstaben>
auth_param negotiate children 100 startup=0 idle=10
auth_param negotiate keep_alive on
acl authenticated_user proxy_auth REQUIRED
http_access deny !authenticated_user
- Ubuntu, Debian oder AltServer:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname in Großbuchstaben>
auth_param negotiate children 100 startup=0 idle=10
auth_param negotiate keep_alive on
acl authenticated_user proxy_auth REQUIRED
http_access deny !authenticated_user
- CentOS oder Red Hat Enterprise Linux:
- Wenn Sie die Protokollierung von Ereignissen im Debug-Modus aktivieren möchten, fügen Sie in der Datei /etc/squid/squid.conf der ersten Zeile den Parameter
-d
hinzu.- CentOS oder Red Hat Enterprise Linux:
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname>
- SUSE Linux Enterprise Server:
auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname in Großbuchstaben>
- Ubuntu, Debian oder AltServer:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname>
Debug-Ereignisse werden in die Datei /var/log/squid/cache.log geschrieben.
- CentOS oder Red Hat Enterprise Linux:
- Wenn Sie den Wiedergabe-Cache deaktivieren möchten, gehen Sie je nach Betriebssystem folgendermaßen vor:
- Fügen Sie für CentOS oder Red Hat Enterprise Linux in der Datei /etc/sysconfig/squid die folgende Zeile hinzu:
KRB5RCACHETYPE=none
- Fügen Sie für Ubuntu Version 18.04.x, Debian Version 9.x oder AltServer in der Datei /etc/default/squid die folgende Zeile hinzu:
KRB5RCACHETYPE=none
- Für SUSE Linux Enterprise Server Version 15.x oder Debian Version 10.x:
- Erstellen Sie die Datei /etc/systemd/system/squid.service.d/override.conf mit folgendem Inhalt:
[Service]
Environment=KRB5RCACHETYPE=none
- Führen Sie den folgenden Befehl aus:
systemctl daemon-reload
- Erstellen Sie die Datei /etc/systemd/system/squid.service.d/override.conf mit folgendem Inhalt:
Standardmäßig ist der Wiedergabe-Cache aktiviert.
Wiedergabe-Cache bietet stärkeren Schutz, kann aber die Leistung des Programms beeinträchtigen.
- Fügen Sie für CentOS oder Red Hat Enterprise Linux in der Datei /etc/sysconfig/squid die folgende Zeile hinzu:
- Starten Sie den Squid-Dienst neu. Führen Sie dazu den folgenden Befehl aus:
service squid restart
- Geben Sie in den Browser-Parametern auf den Computern des lokalen Unternehmensnetzwerks den vollqualifizierten Domänennamen (FQDN) des Servers mit dem Squid-Dienst als Proxyserver an.
Squid wird für die Verwendung der Kerberos-Authentifizierung konfiguriert.