суббота, 9 февраля 2013 г.

пароль сервера kerberos

Меняем разрешения на файл /etc/squid/squid.domain.local.keytab:

  default_domain = domain.local

  admin_server = dc.domain.local

 permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

 default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

 default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

 default_realm = DOMAIN.LOCAL

 admin_server = FILE:/var/log/kadmind.log

 kdc = FILE:/var/log/krb5kdc.log

 default = FILE:/var/log/krb5libs.log

На прокси сервере правим /etc/krb5.conf:

Копируем созданный файл в директорию /etc/squid.

ktpass -princ HTTP/proxy1.domain.local@DOMAIN.LOCAL -mapuser squid@DOMAIN.LOCAL -crypto rc4-hmac-nt -pass squidpass -ptype KRB5_NT_PRINCIPAL -out c:\squid.domain.local.keytab

Cоздаем кейтаб для этого пользователя:

На контроллере домена создаем пользователя squid c паролем «squidpass», заходим в свойства созданного пользователя на вкладку Account и отмечаем Do not require Kerberos preauthentication:

В сети много статей на тему работы в AD Windows посредством аутентификации NTLM. Мне такая схема показалась не очень удобной. Такая схема требует настройки и включения машины со squid в домен windows, да и в плане нагрузки довольно тяжеловато получается. Вот я и решил отказаться от NTLM в пользу Kerberos. Итак описываю настройку. Имею сервер с установленной 6.2, установленный Squid 3.1.10 из стандартных репозиториев, домен с именем domain.local и контроллер домена Windows 2008 R2. Сервер имеет доменное имя proxy1.domain.local и ip адрес 10.100.200.68.

Опубликовал Mike   

Прокси сервер Squid в Active Directory с Kerberos аутентификацией

Записки системного администратора

Прокси сервер Squid в Active Directory с Kerberos аутентификацией | TheAdmin.ru

Комментариев нет:

Отправить комментарий