Настройка клиентской части Kerberos

Чтобы настроить клиентскую часть Kerberos, выполните следующие действия:

  1. Переименуйте файл squid.keytab в файл krb5.keytab и переместите в директорию etc. Для этого выполните команду:

    mv /tmp/squid.keytab /etc/krb5.keytab

  2. Измените владельца файла krb5.keytab и идентификатор группы на squid. Для этого выполните следующую команду в зависимости от используемой операционной системы:
    • CentOS, Red Hat Enterprise Linux или SUSE Linux Enterprise Server:

      chown squid:squid krb5.keytab

    • Ubuntu или Debian:

      chown proxy:proxy krb5.keytab

    По умолчанию владельцем файла krb5.keytab является суперпользователь.

  3. Добавьте в начало файла /etc/squid/squid.conf следующие параметры в зависимости от используемой операционной системы:
    • CentOS или Red Hat Enterprise Linux:

      auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/<имя сервера с сервисом Squid>@<realm Active Directory>

      auth_param negotiate children 10

      auth_param negotiate keep_alive on

      acl lan proxy_auth REQUIRED

      icap_send_client_username on

      http_access allow lan

    • SUSE Linux Enterprise Server:

      auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -s HTTP/<имя сервера с сервисом Squid>@<realm Active Directory>

      auth_param negotiate children 10

      auth_param negotiate keep_alive on

      acl lan proxy_auth REQUIRED

      icap_send_client_username on

      http_access allow lan

    • Ubuntu или Debian:

      auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -s HTTP/<имя сервера с сервисом Squid>@<realm Active Directory>

      auth_param negotiate children 10

      auth_param negotiate keep_alive on

      acl lan proxy_auth REQUIRED

      icap_send_client_username on

      http_access allow lan

  4. Если вы хотите включить запись событий в журнал в режиме отладки, в файле /etc/squid/squid.conf добавьте параметр -d в первую строку:
    • CentOS или Red Hat Enterprise Linux:

      auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -s HTTP/<имя сервера с сервисом Squid>@<realm Active Directory>

    • SUSE Linux Enterprise Server:

      auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -s HTTP/<имя сервера с сервисом Squid>@<realm Active Directory>

    • Ubuntu или Debian:

      auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -s HTTP/<имя сервера с сервисом Squid>@<realm Active Directory>

    Отладочные события будут записаны в файл /var/log/squid/cache.log.

  5. Перезагрузите сервис Squid. Для этого выполните команду:

    service squid restart

  6. На компьютерах локальной сети организации в параметрах браузера укажите FQDN-адрес сервера с сервисом Squid в качестве прокси-сервера.

Клиентская часть Kerberos будет настроена.

В начало