Настройка клиентской части Kerberos
Чтобы настроить клиентскую часть Kerberos, выполните следующие действия:
- Переименуйте файл squid.keytab в файл krb5.keytab и переместите в директорию etc. Для этого выполните команду:
mv /tmp/squid.keytab /etc/krb5.keytab - Измените владельца файла krb5.keytab и идентификатор группы на squid. Для этого выполните следующую команду в зависимости от используемой операционной системы:
- CentOS, Red Hat Enterprise Linux или SUSE Linux Enterprise Server:
chown squid:squid krb5.keytab - Ubuntu или Debian:
chown proxy:proxy krb5.keytab
По умолчанию владельцем файла krb5.keytab является суперпользователь.
- CentOS, Red Hat Enterprise Linux или SUSE Linux Enterprise Server:
- Добавьте в начало файла /etc/squid/squid.conf следующие параметры в зависимости от используемой операционной системы:
- CentOS или Red Hat Enterprise Linux:
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/<имя сервера с сервисом Squid>@<realm Active Directory>auth_param negotiate children 10auth_param negotiate keep_alive onacl lan proxy_auth REQUIREDicap_send_client_username onhttp_access allow lan - SUSE Linux Enterprise Server:
auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -s HTTP/<имя сервера с сервисом Squid>@<realm Active Directory>auth_param negotiate children 10auth_param negotiate keep_alive onacl lan proxy_auth REQUIREDicap_send_client_username onhttp_access allow lan - Ubuntu или Debian:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -s HTTP/<имя сервера с сервисом Squid>@<realm Active Directory>auth_param negotiate children 10auth_param negotiate keep_alive onacl lan proxy_auth REQUIREDicap_send_client_username onhttp_access allow lan
- CentOS или Red Hat Enterprise Linux:
- Если вы хотите включить запись событий в журнал в режиме отладки, в файле /etc/squid/squid.conf добавьте параметр
-dв первую строку:- CentOS или Red Hat Enterprise Linux:
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -s HTTP/<имя сервера с сервисом Squid>@<realm Active Directory> - SUSE Linux Enterprise Server:
auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -s HTTP/<имя сервера с сервисом Squid>@<realm Active Directory> - Ubuntu или Debian:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -s HTTP/<имя сервера с сервисом Squid>@<realm Active Directory>
Отладочные события будут записаны в файл /var/log/squid/cache.log.
- CentOS или Red Hat Enterprise Linux:
- Перезагрузите сервис Squid. Для этого выполните команду:
service squid restart - На компьютерах локальной сети организации в параметрах браузера укажите FQDN-адрес сервера с сервисом Squid в качестве прокси-сервера.
Клиентская часть Kerberos будет настроена.