以下の手順は、Kaspersky Web Traffic Security が RPM パッケージと DEB パッケージから、すぐ使えるオペレーティングシステムにインストールされた場合のみに適用されます。
ドメイン名にルートドメイン「.local
」が含まれるドメインの認証を設定している場合、正確な Kerberos 認証を設定するための事前準備として、次の手順を完了してオペレーティングシステムを設定する必要があります。
Kerberos 認証向けに Squid サービスを設定するには:
update-crypto-policies --set LEGACY
chown squid:squid /etc/squid/squid.keytab
chmod 400 /etc/squid/squid.keytab
chown proxy:proxy /etc/squid/squid.keytab
chmod 400 /etc/squid/squid.keytab
既定では、ファイル krb5.keytab の所有者はスーパーユーザーです。
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<Squid サービスをホストしているサーバーの名前>@<大文字の Active Directory レルムのドメイン名>
auth_param negotiate children 100 startup=0 idle=10
auth_param negotiate keep_alive on
acl authenticated_user proxy_auth REQUIRED
http_access deny !authenticated_user
auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<Squid サービスをホストしているサーバーの名前>@<大文字の Active Directory レルムのドメイン名>
auth_param negotiate children 100 startup=0 idle=10
auth_param negotiate keep_alive on
acl authenticated_user proxy_auth REQUIRED
http_access deny !authenticated_user
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<Squid サービスをホストしているサーバーの名前>@<大文字の Active Directory レルムのドメイン名>
auth_param negotiate children 100 startup=0 idle=10
auth_param negotiate keep_alive on
acl authenticated_user proxy_auth REQUIRED
http_access deny !authenticated_user
-d
パラメータを追加します。auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<Squid サービスをホストしているサーバーの名前>@<Active Directory レルムのドメイン名>
auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<Squid サービスをホストしているサーバーの名前>@<大文字の Active Directory レルム>
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<Squid サービスをホストしているサーバーの名前>@<Active Directory レルムのドメイン名>
デバッグイベントはファイル /var/log/squid/cache.log に書き込まれます。
KRB5RCACHETYPE=none
KRB5RCACHETYPE=none
[Service]
Environment=KRB5RCACHETYPE=none
systemctl daemon-reload
リプレイキャッシュは既定で有効です。
リプレイキャッシュを使用すると、セキュリティ保護の信頼性は向上しますが、製品パフォーマンスは低下する可能性があります。
service squid restart
Kerberos 認証を使用するように Squid サービスが設定されます。
ページのトップに戻る