Kerberos のクライアント側の設定

クライアント側で Kerberos を設定するには:

  1. squid.keytab ファイルの名前を krb5.keytab に変更し、etc ディレクトリに置きます。この操作には、次のコマンドを実行します:

    mv /tmp/squid.keytab /etc/krb5.keytab

  2. krb5.keytab ファイルの所有者とグループ ID を squid に変更します。この操作には、オペレーティングシステムに応じて、以下のコマンドを実行します:
    • CentOS、Red Hat Enterprise Linux、SUSE Linux Enterprise Server:

      chown squid:squid krb5.keytab

    • Ubuntu、Debian:

      chown proxy:proxy krb5.keytab

    既定では、krb5.keytab ファイルの所有者はスーパーユーザーです。

  3. オペレーティングシステムに応じて、ファイル /etc/squid/squid.conf の先頭に以下のパラメータを追加します:
    • CentOS、Red Hat Enterprise Linux:

      auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/<Squid サービスをホストしているサーバーの名前>@<Active Directory レルム>

      auth_param negotiate children 10

      auth_param negotiate keep_alive on

      acl lan proxy_auth REQUIRED

      icap_send_client_username on

      http_access allow lan

    • SUSE Linux Enterprise Server:

      auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -s HTTP/<Squid サービスをホストしているサーバーの名前>@<Active Directory レルム>

      auth_param negotiate children 10

      auth_param negotiate keep_alive on

      acl lan proxy_auth REQUIRED

      icap_send_client_username on

      http_access allow lan

    • Ubuntu、Debian:

      auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -s HTTP/<Squid サービスをホストしているサーバーの名前>/@<Active Directory レルム>

      auth_param negotiate children 10

      auth_param negotiate keep_alive on

      acl lan proxy_auth REQUIRED

      icap_send_client_username on

      http_access allow lan

  4. デバッグモードでイベントログへの記録を有効にする場合、ファイル /etc/squid/squid.conf で先頭の文字列に -d パラメータを追加します:
    • CentOS、Red Hat Enterprise Linux:

      auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -s HTTP/<Squid サービスをホストしているサーバーの名前>@<Active Directory レルム>

    • SUSE Linux Enterprise Server:

      auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -s HTTP/<Squid サービスをホストしているサーバーの名前>@<Active Directory レルム>

    • Ubuntu、Debian:

      auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -s HTTP/<Squid サービスをホストしているサーバーの名前>@<Active Directory レルム>

    デバッグイベントはファイル /var/log/squid/cache.log に書き込まれます。

  5. Squid サービスを再起動します。この操作には、次のコマンドを実行します:

    service squid restart

  6. 組織の LAN 上にあるコンピューターのブラウザー設定で、Squid サービスをホストしているサーバーの FQDN アドレスをプロキシサーバーとして指定します。

Kerberos がクライアント側で設定されます。

ページのトップに戻る