Client-Seite von Kerberos konfigurieren

Gehen Sie wie folgt vor, um die Client-Seite von Kerberos zu konfigurieren:

  1. Benennen Sie die Datei squid.keytab in krb5.keytab um und verschieben Sie diese in den Ordner etc. Führen Sie dazu den folgenden Befehl aus:

    mv /tmp/squid.keytab /etc/krb5.keytab

  2. Ändern Sie den Inhaber der Datei krb5.keytab und die Gruppen-ID in squid. Führen Sie dazu je nach verwendetem Betriebssystem den folgenden Befehl aus:
    • CentOS, Red Hat Enterprise Linux oder SUSE Linux Enterprise Server:

      chown squid:squid krb5.keytab

    • Ubuntu oder Debian:

      chown proxy:proxy krb5.keytab

    Standardmäßig ist der Superuser Inhaber der Datei krb5.keytab.

  3. Fügen Sie am Anfang der Datei /etc/squid/squid.conf je nach verwendetem Betriebssystem die folgenden Parameter hinzu:
    • CentOS oder Red Hat Enterprise Linux:

      auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory>

      auth_param negotiate children 10

      auth_param negotiate keep_alive on

      acl lan proxy_auth REQUIRED

      icap_send_client_username on

      http_access allow lan

    • SUSE Linux Enterprise Server:

      auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory>

      auth_param negotiate children 10

      auth_param negotiate keep_alive on

      acl lan proxy_auth REQUIRED

      icap_send_client_username on

      http_access allow lan

    • Ubuntu oder Debian:

      auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -s HTTP/<Name des Servers mit dem Squid-Dienst>/@<realm Active Directory>

      auth_param negotiate children 10

      auth_param negotiate keep_alive on

      acl lan proxy_auth REQUIRED

      icap_send_client_username on

      http_access allow lan

  4. Wenn Sie die Protokollierung von Ereignissen im Debug-Modus aktivieren möchten, fügen Sie in der Datei /etc/squid/squid.conf der ersten Zeile den Parameter -d hinzu:
    • CentOS oder Red Hat Enterprise Linux:

      auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory>

    • SUSE Linux Enterprise Server:

      auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory>

    • Ubuntu oder Debian:

      auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -s HTTP/<Name des Servers mit dem Squid-Dienst>/@<realm Active Directory>

    Debug-Ereignisse werden in die Datei /var/log/squid/cache.log geschrieben.

  5. Starten Sie den Squid-Dienst neu. Führen Sie dazu den folgenden Befehl aus:

    service squid restart

  6. Geben Sie in den Browser-Parametern auf den Computern des lokalen Unternehmensnetzwerks die FQDN-Adresse des Servers mit dem Squid-Dienst als Proxyserver an.

Die Client-Seite von Kerberos wird konfiguriert.

Nach oben