Squid/AD-auth: различия между версиями
Нет описания правки |
Нет описания правки |
||
(не показана 1 промежуточная версия 1 участника) | |||
Строка 23: | Строка 23: | ||
В заключении разрешаем доступ к прокси-серверу аутентифицированным пользователям: | В заключении разрешаем доступ к прокси-серверу аутентифицированным пользователям: | ||
<pre>http_access allow auth</pre> | <pre>http_access allow auth</pre> | ||
И закрываем доступ к прокси-серверу пользователям из локальной сети по IP-адресу, удаляя или комментируя: | |||
<pre>http_access allow localnet</pre> | |||
Перезапускаем прокси-сервер: | Перезапускаем прокси-сервер: | ||
<pre># systemctl restart squid</pre> | <pre># systemctl restart squid</pre> | ||
{{Attention|На клиентских машинах адрес прокси сервера должен быть указан в FQDN-формате ('''sqserver.domg.testg''')}} | {{Attention|На клиентских машинах адрес прокси сервера должен быть указан в FQDN-формате ('''sqserver.domg.testg''')}} | ||
[[Категория:SQUID]][[Категория:Active Directory]] | [[Категория:SQUID]][[Категория:Active Directory]] | ||
[[Категория:Прокси]] |
Текущая версия от 14:52, 25 октября 2023
В этой статье будет рассмотрена настройка прозрачной Kerberos-аутентификации прокси-сервера Squid с возможностью использования единой точки входа.
Для работы необходима настроенная Kerberos-область. Создайте keytab-файл с принципалом HTTP (Создание SPN и Keytab файла).
Данный keytab-файл должен быть доступен для чтения пользователю squid.
Проверим полученный keytab-файл:
# kinit -kV -p HTTP/sqserver.domg.testg@DOMG.TESTG -t /etc/squid/squid.keytab Using default cache: persistent:0:krb_ccache_95Lkl2t Using principal: HTTP/sqserver.domg.testg@DOMG.TESTG Using keytab: /etc/squid/squid.keytab Authenticated to Kerberos 5
Удалим полученный билет:
# kdestroy
Укажем прокси-серверу путь к keytab-файлу, для этого в файл /etc/sysconfig/squid добавим следующие строки:
KRB5_KTNAME=/etc/squid/squid.keytab export KRB5_KTNAME
Далее настроим kerberos-аутентификацию конфигурационном файле /etc/squid/squid.conf:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -s HTTP/sqserver.domg.testg@DOMG.TESTG auth_param negotiate children 20 startup=0 idle=1 auth_param negotiate keep_alive on
Параметр -d указан для отладки, после окончательной настройки его можно убрать.
Далее к спискам контроля доступа добавим следующий ACL:
acl auth proxy_auth REQUIRED
Этот означает всех пользователей прошедших аутентификацию.
В заключении разрешаем доступ к прокси-серверу аутентифицированным пользователям:
http_access allow auth
И закрываем доступ к прокси-серверу пользователям из локальной сети по IP-адресу, удаляя или комментируя:
http_access allow localnet
Перезапускаем прокси-сервер:
# systemctl restart squid