Меняем разрешения на файл /etc/squid/squid.domain.local.keytab:
default_domain = domain.local
admin_server = dc.domain.local
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_realm = DOMAIN.LOCAL
admin_server = FILE:/var/log/kadmind.log
kdc = FILE:/var/log/krb5kdc.log
default = FILE:/var/log/krb5libs.log
На прокси сервере правим /etc/krb5.conf:
Копируем созданный файл в директорию /etc/squid.
ktpass -princ HTTP/proxy1.domain.local@DOMAIN.LOCAL -mapuser squid@DOMAIN.LOCAL -crypto rc4-hmac-nt -pass squidpass -ptype KRB5_NT_PRINCIPAL -out c:\squid.domain.local.keytab
Cоздаем кейтаб для этого пользователя:
На контроллере домена создаем пользователя squid c паролем «squidpass», заходим в свойства созданного пользователя на вкладку Account и отмечаем Do not require Kerberos preauthentication:
В сети много статей на тему работы в AD Windows посредством аутентификации NTLM. Мне такая схема показалась не очень удобной. Такая схема требует настройки и включения машины со squid в домен windows, да и в плане нагрузки довольно тяжеловато получается. Вот я и решил отказаться от NTLM в пользу Kerberos. Итак описываю настройку. Имею сервер с установленной 6.2, установленный Squid 3.1.10 из стандартных репозиториев, домен с именем domain.local и контроллер домена Windows 2008 R2. Сервер имеет доменное имя proxy1.domain.local и ip адрес 10.100.200.68.
Опубликовал Mike
Прокси сервер Squid в Active Directory с Kerberos аутентификацией
Записки системного администратора
Прокси сервер Squid в Active Directory с Kerberos аутентификацией | TheAdmin.ru
Комментариев нет:
Отправить комментарий