Squid-Dienst für Kerberos-Authentifizierung konfigurieren

Diese Anweisung wird verwendet, wenn Kaspersky Web Traffic Security aus einem rpm- oder deb-Paket in einem bestehenden Betriebssystem installiert wurde.

Wenn Sie die Authentifizierung mit einer Domäne konfigurieren, deren Name die Stammdomäne .local enthält, müssen zunächst bestimmte Aktionen im Betriebssystem ausgeführt werden, damit die Kerberos-Authentifizierung ordnungsgemäß funktioniert.

Gehen Sie wie folgt vor, um den Squid-Dienst für Kerberos-Authentifizierung zu konfigurieren:

1. Wenn Sie CentOS Version 8.x oder Red Hat Enterprise Linux Version 8.x verwenden, konfigurieren Sie eine Richtlinie für die Verwendung kryptografischer Algorithmen. Führen Sie dazu den folgenden Befehl aus:

   update-crypto-policies --set LEGACY

2. Kopieren Sie die Datei squid.keytab in das Verzeichnis /etc/squid/.
3. Konfigurieren Sie den Zugriff auf die keytab-Datei. Führen Sie dazu je nach verwendetem Betriebssystem folgende Befehle aus:
   • CentOS, Red Hat Enterprise Linux oder SUSE Linux Enterprise Server:

     chown squid:squid /etc/squid/squid.keytab

     chmod 400 /etc/squid/squid.keytab

   • Ubuntu, Debian oder AltServer:

     chown proxy:proxy /etc/squid/squid.keytab

     chmod 400 /etc/squid/squid.keytab

   Standardmäßig ist der Superuser Inhaber der Datei krb5.keytab.

4. Fügen Sie am Anfang der Datei /etc/squid/squid.conf je nach verwendetem Betriebssystem die folgenden Parameter hinzu:
   • CentOS oder Red Hat Enterprise Linux:

     auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname in Großbuchstaben>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

   • SUSE Linux Enterprise Server:

     auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname in Großbuchstaben>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

   • Ubuntu, Debian oder AltServer:

     auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname in Großbuchstaben>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

5. Wenn Sie die Protokollierung von Ereignissen im Debug-Modus aktivieren möchten, fügen Sie in der Datei /etc/squid/squid.conf der ersten Zeile den Parameter -d hinzu.
   • CentOS oder Red Hat Enterprise Linux:

     auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname>

   • SUSE Linux Enterprise Server:

     auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname in Großbuchstaben>

   • Ubuntu, Debian oder AltServer:

     auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname>

   Debug-Ereignisse werden in die Datei /var/log/squid/cache.log geschrieben.

6. Wenn Sie den Wiedergabe-Cache deaktivieren möchten, gehen Sie je nach Betriebssystem folgendermaßen vor:
   • Fügen Sie für CentOS oder Red Hat Enterprise Linux in der Datei /etc/sysconfig/squid die folgende Zeile hinzu:

     KRB5RCACHETYPE=none

   • Fügen Sie für Ubuntu Version 18.04.x, Debian Version 9.x oder AltServer in der Datei /etc/default/squid die folgende Zeile hinzu:

     KRB5RCACHETYPE=none

   • Für SUSE Linux Enterprise Server Version 15.x oder Debian Version 10.x:
     1. Erstellen Sie die Datei /etc/systemd/system/squid.service.d/override.conf mit folgendem Inhalt:

        [Service]

        Environment=KRB5RCACHETYPE=none

     2. Führen Sie den folgenden Befehl aus:

        systemctl daemon-reload

   Standardmäßig ist der Wiedergabe-Cache aktiviert.

   Wiedergabe-Cache bietet stärkeren Schutz, kann aber die Leistung des Programms beeinträchtigen.

   Der Cache wird in der Kerberos-Technologie für die Speicherung der Einträge über Benutzeranfragen zur Authentifizierung verwendet. Dieser Mechanismus hilft beim Schutz der Infrastruktur von Replay-Angriffen. Während solcher Angriffe überschreiben Betrüger den Datenverkehr des Benutzers, um zuvor versendete Nachrichten zu wiederholen und eine erfolgreiche Authentifizierung am Proxyserver zu erreichen. Bei Verwendung des Wiedergabe-Cache erkennt der Authentifizierungsserver das Anfrageduplikat und sendet als Reaktion darauf eine Fehlermeldung.

7. Starten Sie den Squid-Dienst neu. Führen Sie dazu den folgenden Befehl aus:

   service squid restart

8. Geben Sie in den Browser-Parametern auf den Computern des lokalen Unternehmensnetzwerks den vollqualifizierten Domänennamen (FQDN) des Servers mit dem Squid-Dienst als Proxyserver an.

Squid wird für die Verwendung der Kerberos-Authentifizierung konfiguriert.