Squid-Dienst für Kerberos-Authentifizierung konfigurieren

Diese Anweisung wird verwendet, wenn Kaspersky Web Traffic Security aus einem RPM- oder DEB-Paket in einem bestehenden Betriebssystem installiert wurde.

Wenn Sie die Authentifizierung mit einer Domäne konfigurieren, deren Name die Stammdomäne .local enthält, müssen zunächst bestimmte Aktionen im Betriebssystem ausgeführt werden, damit die Kerberos-Authentifizierung ordnungsgemäß funktioniert.

Gehen Sie wie folgt vor, um den Squid-Dienst für Kerberos-Authentifizierung zu konfigurieren:

1. Wenn Sie Red Hat Enterprise Linux Version 8.x und höher, Rocky Linux oder RED OS verwenden, konfigurieren Sie die Richtlinie zur Verwendung kryptografischer Algorithmen. Führen Sie dazu den folgenden Befehl aus:

   update-crypto-policies --set LEGACY

2. Kopieren Sie die Datei squid.keytab in das Verzeichnis /etc/squid/.
3. Konfigurieren Sie den Zugriff auf die keytab-Datei. Führen Sie dazu je nach verwendetem Betriebssystem folgende Befehle aus:
   • CentOS, Red Hat Enterprise Linux, SUSE Linux Enterprise Server, Rocky Linux oder RED OS:

     chown squid:squid /etc/squid/squid.keytab

     chmod 400 /etc/squid/squid.keytab

   • Ubuntu, Debian oder AltServer:

     chown proxy:proxy /etc/squid/squid.keytab

     chmod 400 /etc/squid/squid.keytab

   Standardmäßig ist der Superuser Inhaber der Datei krb5.keytab.

4. Fügen Sie am Anfang der Datei /etc/squid/squid.conf je nach verwendetem Betriebssystem die folgenden Parameter hinzu:
   • CentOS, Red Hat Enterprise Linux, Rocky Linux oder RED OS:

     auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname in Großbuchstaben>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

   • SUSE Linux Enterprise Server:

     auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname in Großbuchstaben>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

   • Ubuntu, Debian oder AltServer:

     auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname in Großbuchstaben>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

5. Wenn Sie die Protokollierung von Ereignissen im Debug-Modus aktivieren möchten, fügen Sie in der Datei /etc/squid/squid.conf der ersten Zeile den Parameter -d hinzu.
   • CentOS, Red Hat Enterprise Linux, Rocky Linux oder RED OS:

     auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname>

   • SUSE Linux Enterprise Server:

     auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname in Großbuchstaben>

   • Ubuntu, Debian oder AltServer:

     auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<Name des Servers mit dem Squid-Dienst>@<realm Active Directory-Domänenname>

   Debug-Ereignisse werden in die Datei /var/log/squid/cache.log geschrieben.

6. Wenn Sie den Replay-Cache deaktivieren möchten, gehen Sie je nach Betriebssystem folgendermaßen vor:
   • Fügen Sie für CentOS, Red Hat Enterprise Linux, Rocky Linux oder RED OS der Datei "/etc/sysconfig/squid" die folgende Zeile hinzu:

     KRB5RCACHETYPE=none

   • Fügen Sie für Ubuntu Version 18.04.x, Debian Version 9.x oder AltServer in der Datei /etc/default/squid die folgende Zeile hinzu:

     KRB5RCACHETYPE=none

   • Für SUSE Linux Enterprise Server, Ubuntu 20.04.x ​​​​und höher, Debian 10.x und höher:
     1. Erstellen Sie die Datei /etc/systemd/system/squid.service.d/override.conf mit folgendem Inhalt:

        [Service]

        Environment=KRB5RCACHETYPE=none

     2. Führen Sie den folgenden Befehl aus:

        systemctl daemon-reload

   Standardmäßig ist der Replay-Cache aktiviert.

   Replay-Cache bietet stärkeren Schutz, kann aber die Leistung der Anwendung beeinträchtigen.

   Der Cache wird in der Kerberos-Technologie für die Speicherung der Einträge über Benutzeranfragen zur Authentifizierung verwendet. Dieser Mechanismus hilft beim Schutz der Infrastruktur von Replay-Angriffen. Während solcher Angriffe überschreiben Betrüger den Datenverkehr des Benutzers, um zuvor versendete Nachrichten zu wiederholen und eine erfolgreiche Authentifizierung am Proxyserver zu erreichen. Bei Verwendung des Replay-Cache erkennt der Authentifizierungsserver das Anfrageduplikat und sendet als Reaktion darauf eine Fehlermeldung.

7. Starten Sie den Squid-Dienst neu. Führen Sie dazu den folgenden Befehl aus:

   service squid restart

8. Geben Sie in den Browser-Parametern auf den Computern des lokalen Unternehmensnetzwerks den vollqualifizierten Domänennamen (FQDN) des Servers mit dem Squid-Dienst als Proxyserver an.

Squid wird für die Verwendung der Kerberos-Authentifizierung konfiguriert.

Nach oben