Configuração do serviço Squid para autenticação Kerberos

Estas instruções são aplicáveis se o Kaspersky Web Traffic Security foi instalado a partir de um pacote RPM ou DEB em um sistema operacional pronto para uso.

Se estiver configurando a autenticação com um domínio cujo nome contém o domínio raiz .local, você deve concluir os passos a seguir para preparar o sistema operacional para a autenticação Kerberos correta.

Para configurar o serviço Squid para autenticação Kerberos:

1. Se você estiver usando os sistemas operacionais CentOS versão 8.x ou Red Hat Enterprise Linux versão 8.x, configure uma política para usar algoritmos de criptografia. Para fazer isso, execute o comando:

   update-crypto-policies --set LEGACY

2. Copie o arquivo squid.keytab para a pasta /etc/squid/.
3. Configure o acesso ao arquivo keytab. Para fazer isso, execute os seguintes comandos, dependendo do sistema operacional utilizado:
   • CentOS, Red Hat Enterprise Linux ou SUSE Linux Enterprise Server:

     chown squid:squid /etc/squid/squid.keytab

     chmod 400 /etc/squid/squid.keytab

   • Ubuntu, Debian ou ALT Server:

     chown proxy:proxy /etc/squid/squid.keytab

     chmod 400 /etc/squid/squid.keytab

   Por padrão, o proprietário do arquivo krb5.keytab é um superusuário.

4. Dependendo do sistema operacional, adicione os seguintes parâmetros no início do arquivo /etc/squid/squid.conf:
   • CentOS ou Red Hat Enterprise Linux:

     auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<nome do servidor hospedando o serviço Squid>@<nome do domínio do Active Directory em letras maiúsculas>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

   • SUSE Linux Enterprise Server:

     auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<nome do servidor hospedando o serviço Squid>@<nome do domínio do Active Directory em letras maiúsculas>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

   • Ubuntu, Debian ou ALT Server:

     auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<nome do servidor hospedando o serviço Squid>@<nome do domínio do Active Directory em letras maiúsculas>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

5. Se quiser ativar o log de eventos no modo de depuração, no arquivo /etc/squid/squid.conf, adicione o parâmetro -d na primeira cadeia de caractere.
   • CentOS ou Red Hat Enterprise Linux:

     auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<nome do servidor hospedando o serviço Squid>@<domínio do Active Directory>

   • SUSE Linux Enterprise Server:

     auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<nome do servidor que hospeda o serviço Squid>@<Active Directory realm em letras maiúsculas>

   • Ubuntu, Debian ou ALT Server:

     auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<nome do servidor hospedando o serviço Squid>@<nome do domínio do Active Directory em letras maiúsculas>

   Os eventos de depuração serão gravados no arquivo /var/log/squid/cache.log.

6. Se você deseja desativar o Reproduzir cache, faça o seguinte, dependendo do sistema operacional utilizado:
   • Para CentOS ou Red Hat Enterprise Linux, adicione a seguinte linha ao arquivo /etc/sysconfig/squid:

     KRB5RCACHETYPE=none

   • Para Ubuntu 18.04.x, Debian 9.x ou ALT Server, adicione a seguinte linha ao arquivo /etc/default/squid:

     KRB5RCACHETYPE=none

   • Para SUSE Linux Enterprise Server 15.x ou Debian 10.x:
     1. Crie um arquivo chamado /etc/systemd/system/squid.service.d/override.conf com o seguinte conteúdo:

        [Service]

        Environment=KRB5RCACHETYPE=none

     2. Execute o seguintes comando:

        systemctl daemon-reload

   Reproduzir cache fica ativado por padrão.

   Reproduzir cache fornece uma proteção mais confiável, mas pode reduzir o desempenho do aplicativo.

   Cache usado na tecnologia Kerberos para armazenar registros de solicitação de autenticação do usuário. Este mecanismo ajuda a proteger a infraestrutura contra ataques de reprodução. Ao empregar esses tipos de ataques, hackers registram o tráfego do usuário para que possam reproduzir as mensagens previamente usadas pelo usuário e, assim concluir com sucesso a autenticação no servidor proxy. Ao usar cache de reprodução, o servidor de autenticação detecta a solicitação de duplicata e responde enviando uma mensagem de erro.

7. Reiniciar o serviço Squid. Para fazer isso, execute o comando:

   service squid restart

8. Nos computadores LAN empresariais, nas configurações do navegador, especifique o nome do domínio totalmente qualificado (FQDN) do servidor que hospeda o serviço Squid como o servidor proxy.

O serviço Squid agora está configurado para usar a autenticação Kerberos.

Topo da página