Création du fichier keytab pour le service Squid
13 décembre 2023
ID 166438
Vous pouvez utiliser un seul compte pour vous authentifier auprès de tous les nœuds de cluster. Il faut créer pour cela un fichier keytab contenant les noms du sujet-service (ci-après « SPN ») pour chacun de ces nœuds. Lors de la création d'un fichier keytab, vous devrez utiliser un attribut pour générer le sel (salt, modificateur d'entrée de la fonction de hachage).
Le sel généré doit être sauvegardé de n'importe quelle manière pratique pour l'ajout ultérieur de nouveaux SPN au fichier keytab.
Vous pouvez également créer un compte Active Directory distinct pour chaque nœud de cluster pour lequel vous souhaitez configurer l'authentification Kerberos.
Le fichier keytab est créé sur un serveur du contrôleur de domaine ou sur un ordinateur Windows Server joint à un domaine sous un compte disposant de privilèges d'administrateur du domaine.
Pour créer un fichier keytab pour le service Squid à l'aide d'un seul compte, procédez comme suit :
- Dans le module logiciel enfichable Active Directory Users and Computers, créez un compte pour l'utilisateur (par exemple, sous le nom
squid-user). - Pour utiliser l'algorithme de chiffrement AES256-SHA1, procédez comme suit dans le module logiciel enfichable Active Directory Users and Computers :
- Ouvrez les propriétés du compte utilisateur créé.
- Sous l'onglet Account, cochez la case This account supports Kerberos AES 256 bit encryption.
- Créez un fichier keytab pour l'utilisateur
squid-userà l'aide de l'utilitaire ktpass. Pour ce faire, saisissez la commande suivante :C:\Windows\system32\ktpass.exe -princ HTTP/<nom du serveur avec le service Squid>@<realm nom de domaine Active Directory en majuscules> -mapuser squid-user@<realm nom du domaine Active Directory en majuscules> -crypto AES256- SHA1 - ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <chemin d'accès au fichier>\<nom du fichier>.keytabLe nom du serveur avec le service Squid doit être saisi en minuscules (par exemple,
proxy.company.com).L'utilitaire demande le mot de passe de l'utilisateur
squid-userlors de l'exécution de la commande.L'enregistrement SPN du nœud maître est ajouté au fichier keytab créé. Le sel généré s'affichera à l'écran :
Hashing password with salt "<valeur de hachage>". - Pour chaque nœud de cluster, ajoutez une entrée SPN au fichier keytab. Pour ce faire, exécutez la commande suivante :
C:\Windows\system32\ktpass.exe -princ HTTP/<nom de domaine complet (FQDN) du nœud>@<realm nom du domaine Active Directory en majuscules> -mapuser squid-user@<realm nom du domaine Active Directory en majuscules> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <nom du fichier précédemment créé et chemin d'accès à celui-ci>.keytab -out <chemin d'accès et nouveau nom>.keytab -setupn -setpass -rawsalt "<valeur de hash du sel obtenue en créant le fichier keytab à l'étape 3>"L'utilitaire demande le mot de passe de l'utilisateur
squid-userlors de l'exécution de la commande.
Le fichier keytab pour le service Squid sera créé. Ce fichier contiendra tous les SPN ajoutés des nœuds du cluster.
Exemple : Par exemple, vous voulez créer un fichier keytab contenant les noms SPN de 3 nœuds : Pour créer le fichier nommé
Imaginons que vous ayez reçu le sel Pour ajouter un autre SPN, vous devez exécuter la commande suivante :
Pour ajouter un troisième SPN, vous devez exécuter la commande suivante :
Cette opération aura pour résultat la création d'un fichier nommé |
Pour créer un fichier keytab pour le service Squid à l'aide d'un compte distinct pour chaque nœud, procédez comme suit :
- Dans le module logiciel enfichable Active Directory Users and Computers, créez un compte utilisateur distinct pour chaque nœud de cluster (par exemple, des comptes nommés
squid-user,squid-user2,squid-user3, etc.). - Pour utiliser l'algorithme de chiffrement AES256-SHA1, procédez comme suit dans le module logiciel enfichable Active Directory Users and Computers :
- Ouvrez les propriétés du compte utilisateur créé.
- Sous l'onglet Account, cochez la case This account supports Kerberos AES 256 bit encryption.
- Créez un fichier keytab pour l'utilisateur
squid-userà l'aide de l'utilitaire ktpass. Pour ce faire, saisissez la commande suivante :C:\Windows\system32\ktpass.exe -princ HTTP/<nom du serveur avec le service Squid en minuscules>@<realm nom du domaine Active Directory en majuscules> -mapuser control-user@<realm nom du domaine Active Directory en majuscules> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <chemin d'accès au fichier>\<nom du fichier>.keytabLe nom du serveur avec le service Squid doit être saisi en minuscules (par exemple,
proxy.company.com).L'utilitaire demande le mot de passe de l'utilisateur
squid-userlors de l'exécution de la commande.L'enregistrement SPN du nœud maître est ajouté au fichier keytab créé.
- Pour chaque nœud de cluster, ajoutez une entrée SPN au fichier keytab. Pour ce faire, exécutez la commande suivante :
C:\Windows\system32\ktpass.exe -princ HTTP/<om de domaine complet (FQDN) du nœud>@<realm nom du domaine Active Directory en majuscules> -mapuser squid-user2@<realm nom du domaine Active Directory en majuscules> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <nom du fichier précédemment créé et chemin d'accès à celui-ci>.keytab -out <chemin d'accès et nouveau nom>.keytabL'utilitaire demande le mot de passe de l'utilisateur
squid-user2lors de l'exécution de la commande.
Le fichier keytab pour le service Squid sera créé. Ce fichier contiendra tous les SPN ajoutés des nœuds du cluster.
Exemple : Par exemple, vous voulez créer un fichier keytab contenant les noms SPN de 3 nœuds : Pour créer le fichier nommé
Pour ajouter un autre SPN, vous devez exécuter la commande suivante :
Pour ajouter un troisième SPN, vous devez exécuter la commande suivante :
Cette opération aura pour résultat la création d'un fichier nommé |