Configuration de la partie client Kerberos

Pour configurer la partie client Kerberos, procédez comme suit :

  1. Renommez le fichier squid.keytab dans le fichier krb5.keytab et déplacez-le dans le répertoire etc. Pour ce faire, saisissez la commande :

    mv /tmp/squid.keytab /etc/krb5.keytab

  2. Modifiez le propriétaire du fichier krb5.keytab et l'identifiant du groupe sur squid. Pour ce faire, exécutez la commande ci-dessous en fonction du système d'exploitation utilisé :
    • CentOS, Red Hat Enterprise Linux ou SUSE Linux Enterprise Server :

      chown squid:squid krb5.keytab

    • Ubuntu ou Debian :

      chown proxy:proxy krb5.keytab

    Par défaut, le propriétaire du fichier krb5.keytab est le superutilisateur.

  3. Ajoutez au début du fichier /etc/squid/squid.conf les paramètres suivants en fonction du système d'exploitation utilisé :
    • CentOS ou Red Hat Enterprise Linux :

      auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/<nom du serveur avec le service Squid>@<realm Active Directory>

      auth_param negotiate children 10

      auth_param negotiate keep_alive on

      acl lan proxy_auth REQUIRED

      icap_send_client_username on

      http_access allow lan

    • SUSE Linux Enterprise Server :

      auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -s HTTP/<nom du serveur avec le service Squid>@<realm Active Directory>

      auth_param negotiate children 10

      auth_param negotiate keep_alive on

      acl lan proxy_auth REQUIRED

      icap_send_client_username on

      http_access allow lan

    • Ubuntu ou Debian :

      auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -s HTTP/<nom du serveur avec le service Squid>@<realm Active Directory>

      auth_param negotiate children 10

      auth_param negotiate keep_alive on

      acl lan proxy_auth REQUIRED

      icap_send_client_username on

      http_access allow lan

  4. Si vous voulez activer l'enregistrement des événements dans le journal en mode de débogage, dans le fichier/etc/squid/squid.conf dans la première ligne, ajoutez le paramètre -d :
    • CentOS ou Red Hat Enterprise Linux :

      auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -s HTTP/<nom du serveur avec le service Squid>@<realm Active Directory>

    • SUSE Linux Enterprise Server :

      auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -s HTTP/<nom du serveur avec le service Squid>@<realm Active Directory>

    • Ubuntu ou Debian :

      auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -s HTTP/<nom du serveur avec le service Squid>@<realm Active Directory>

    Les événements de débogage seront enregistrés dans le fichier /var/log/squid/cache.log.

  5. Relancez le service Squid. Pour ce faire, saisissez la commande :

    service squid restart

  6. Sur les ordinateurs du réseau local de l'entreprise dans les paramètres du navigateur, indiquez l'adresse FQDN du serveur sur lequel se trouve le service Squid en tant que serveur proxy.

La partie client Kerberos sera configurée.

Haut de page