Configuración del servicio Squid para autenticación Kerberos

Estas instrucciones son aplicables si Kaspersky Web Traffic Security se instaló desde un paquete RPM o DEB a un sistema operativo listo para usar.

Si va a configurar la autenticación con un dominio cuyo nombre contenga el dominio raíz .local, debe completar los pasos siguientes para preparar el sistema operativo para la autenticación Kerberos correcta.

Para configurar el servicio Squid para autenticación Kerberos:

1. Si está utilizando los sistemas operativos CentOS versión 8.x o Red Hat Enterprise Linux versión 8.x, configure una directiva para utilizar algoritmos de cifrado. Para hacerlo, ejecute el comando:

   update-crypto-policies --set LEGACY

2. Copie el archivo squid.keytab en la carpeta /etc/squid/.
3. Configure el acceso al archivo keytab. Para hacerlo, ejecute los comandos siguientes según el sistema operativo utilizado:
   • CentOS, Red Hat Enterprise Linux o SUSE Linux Enterprise Server:

     chown squid:squid /etc/squid/squid.keytab

     chmod 400 /etc/squid/squid.keytab

   • Ubuntu, Debian o ALT Server:

     chown proxy:proxy /etc/squid/squid.keytab

     chmod 400 /etc/squid/squid.keytab

   De forma predeterminada, el propietario del archivo krb5.keytab es el superusuario.

4. Añada los siguientes parámetros al principio del archivo /etc/squid/squid.conf, según el sistema operativo:
   • CentOS o Red Hat Enterprise Linux:

     auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<nombre del servidor que aloja el servicio Squid>@<nombre de dominio kerberos de Active Directory en mayúsculas>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

   • SUSE Linux Enterprise Server:

     auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<nombre del servidor que aloja el servicio Squid>@<nombre de dominio kerberos de Active Directory en mayúsculas>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

   • Ubuntu, Debian o ALT Server:

     auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<nombre del servidor que aloja el servicio Squid>@<nombre de dominio kerberos de Active Directory en mayúsculas>

     auth_param negotiate children 100 startup=0 idle=10

     auth_param negotiate keep_alive on

     acl authenticated_user proxy_auth REQUIRED

     http_access deny !authenticated_user

5. Si desea activar el registro de eventos en el modo de depuración, en el archivo /etc/squid/squid.conf añada el parámetro -d a la primera cadena.
   • CentOS o Red Hat Enterprise Linux:

     auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<nombre del servidor que aloja el servicio Squid>@<dnombre de dominio kerberos de Active Directory>

   • SUSE Linux Enterprise Server:

     auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<nombre del servidor que aloja el servicio Squid>@<dominio kerberos de Active Directory en mayúsculas>

   • Ubuntu, Debian o ALT Server:

     auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<nombre del servidor que aloja el servicio Squid>@<nombre de dominio kerberos de Active Directory>

   Los eventos de ajuste se escribirán en el archivo /var/log/squid/cache.log.

6. Si desea deshabilitar el caché de la reproducción, haga lo siguiente según el sistema operativo utilizado:
   • Para CentOS o Red Hat Enterprise Linux, añada la siguiente línea al archivo /etc/sysconfig/squid:

     KRB5RCACHETYPE=none

   • Para Ubuntu 18.04.х, Debian 9.х o ALT Server, añada la siguiente línea al archivo /etc/default/squid:

     KRB5RCACHETYPE=none

   • Para SUSE Linux Enterprise Server 15.x o Debian 10.x:
     1. Cree un archivo llamado /etc/systemd/system/squid.service.d/override.conf con el siguiente contenido:

        [Service]

        Environment=KRB5RCACHETYPE=none

     2. Ejecute el comando siguiente:

        systemctl daemon-reload

   El caché de la reproducción está activado de forma predeterminada.

   El caché de la reproducción ofrece una protección más confiable, pero puede reducir el rendimiento de la aplicación.

   Caché utilizado en la tecnología Kerberos para almacenar registros de solicitudes de autenticación de usuarios. Este mecanismo ayuda a proteger la infraestructura contra ataques de reproducción. Al emplear este tipo de ataques, los hackers registran el tráfico de los usuarios para poder reproducir los mensajes enviados previamente por el usuario y, por lo tanto, completar de forma correcta la autenticación en el servidor proxy. Cuando se usa un caché de la reproducción, el servidor de autenticación detecta la solicitud duplicada y responde con el envío de un mensaje de error.

7. Reiniciar el servicio Squid. Para hacerlo, ejecute el comando:

   service squid restart

8. En equipos de la red de área local de la empresa, en la configuración del navegador, especifique el nombre de dominio completo (FQDN) del servidor que aloja el servicio Squid como el servidor proxy.

El servicio Squid ahora está configurado para usar la autenticación Kerberos.

Inicio de página