Configuration du service Squid pour l'authentification Kerberos

Cette instruction est utilisée si Kaspersky Web Traffic Security est installé à partir d'un paquet rpm ou deb sur un système d'exploitation préinstallé.

Si vous configurez l'authentification avec un domaine dont le nom contient un domaine racine .local, vous devez préalablement effectuer certaines actions dans votre système d'exploitation afin que l'authentification Kerberos fonctionne correctement.

Pour configurer les paramètres du service Squid pour l'authentification Kerberos, procédez comme suit :

1. Si vous utilisez les systèmes d'exploitation CentOS version 8.x ou Red Hat Enterprise Linux version 8.x, configurez une stratégie d'utilisation des algorithmes cryptographiques. Pour ce faire, saisissez la commande :

   update-crypto-policies --set LEGACY

2. Copiez le fichier squid.keytab dans le répertoire /etc/squid/.
3. Configurez l'accès au fichier keytab. Pour ce faire, exécutez les commandes suivantes en fonction du système d'exploitation utilisé :
   • CentOS, Red Hat Enterprise Linux ou SUSE Linux Enterprise Server :

     chown squid:squid /etc/squid/squid.keytab

     chmod 400 /etc/squid/squid.keytab

   • Ubuntu, Debian ou ALT Server :

     chown proxy:proxy /etc/squid/squid.keytab

     chmod 400 /etc/squid/squid.keytab

   Par défaut, le propriétaire du fichier krb5.keytab est le superutilisateur.

4. Ajoutez au début du fichier /etc/squid/squid.conf les paramètres suivants en fonction du système d'exploitation utilisé :
   • CentOS ou Red Hat Enterprise Linux :

     auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<nom du serveur avec le service Squid>@<realm nom de domaine Active Directory en majuscules>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

   • SUSE Linux Enterprise Server :

     auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<nom du serveur avec le service Squid>@<realm nom de domaine Active Directory en majuscules>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

   • Ubuntu, Debian ou ALT Server :

     auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<nom du serveur avec le service Squid>@<realm nom de domaine Active Directory en majuscules>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

5. Si vous voulez activer l'enregistrement des événements dans le journal en mode de débogage, dans le fichier/etc/squid/squid.conf dans la première ligne, ajoutez le paramètre -d.
   • CentOS ou Red Hat Enterprise Linux :

     auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<nom du serveur avec le service Squid>@<realm nom de domaine Active Directory>

   • SUSE Linux Enterprise Server :

     auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<nom du serveur avec le service Squid>@<realm nom de domaine Active Directory en majuscules>

   • Ubuntu, Debian ou ALT Server :

     auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<nom du serveur avec le service Squid>@<realm nom de domaine Active Directory>

   Les événements de débogage seront enregistrés dans le fichier /var/log/squid/cache.log.

6. Si vous souhaitez désactiver Replay cache, procédez comme suit, selon votre système d'exploitation :
   • Pour CentOS ou Red Hat Enterprise Linux, ajoutez la ligne dans le fichier /etc/sysconfig/squid :

     KRB5RCACHETYPE=none

   • Pour Ubuntu version 18.04.x, Debian version 9.x ou ALT Server, ajoutez la ligne dans le fichier /etc/default/squid :

     KRB5RCACHETYPE=none

   • Pour SUSE Linux Enterprise Server version 15.x ou Debian version 10.x :
     1. Créez le fichier /etc/systemd/system/squid.service.d/override.conf avec le contenu suivant :

        [Service]

        Environment=KRB5RCACHETYPE=none

     2. Exécutez la commande :

        systemctl daemon-reload

   Par défaut, Replay cache est activé.

   Replay cache offre une meilleure protection, mais peut réduire les performances de l'application.

   Cache utilisé dans la technologie Kerberos pour stocker les entrées des demandes d'authentification des utilisateurs. Ce mécanisme aide à protéger votre infrastructure contre les attaques par rejeu. Pendant ces attaques, les individus malintentionnés enregistrent le trafic de l'utilisateur pour reproduire les messages envoyés précédemment et s'authentifier avec le serveur proxy. Lors de l'utilisation du replay cache, le serveur d'authentification détecte la requête en double et envoie un message d'erreur en réponse.

7. Relancez le service Squid. Pour ce faire, saisissez la commande :

   service squid restart

8. Sur les ordinateurs du réseau local de l'entreprise, dans les paramètres du navigateur, indiquez le nom de domaine complet (FQDN) du serveur sur lequel se trouve le service Squid en tant que serveur proxy.

Le service Squid sera configuré pour l'utilisation de l'authentification Kerberos.