Configuração do serviço Squid para autenticação Kerberos
13 de dezembro de 2023
ID 166440
Estas instruções são aplicáveis se o Kaspersky Web Traffic Security foi instalado a partir de um pacote RPM ou DEB em um sistema operacional pronto para uso.
Se estiver configurando a autenticação com um domínio cujo nome contém o domínio raiz .local
, você deve concluir os passos a seguir para preparar o sistema operacional para a autenticação Kerberos correta.
Para configurar o serviço Squid para autenticação Kerberos:
- Se você estiver usando os sistemas operacionais CentOS versão 8.x ou Red Hat Enterprise Linux versão 8.x, configure uma política para usar algoritmos de criptografia. Para fazer isso, execute o comando:
update-crypto-policies --set LEGACY
- Copie o arquivo squid.keytab para a pasta /etc/squid/.
- Configure o acesso ao arquivo keytab. Para fazer isso, execute os seguintes comandos, dependendo do sistema operacional utilizado:
- CentOS, Red Hat Enterprise Linux ou SUSE Linux Enterprise Server:
chown squid:squid /etc/squid/squid.keytab
chmod 400 /etc/squid/squid.keytab
- Ubuntu, Debian ou ALT Server:
chown proxy:proxy /etc/squid/squid.keytab
chmod 400 /etc/squid/squid.keytab
Por padrão, o proprietário do arquivo krb5.keytab é um superusuário.
- CentOS, Red Hat Enterprise Linux ou SUSE Linux Enterprise Server:
- Dependendo do sistema operacional, adicione os seguintes parâmetros no início do arquivo /etc/squid/squid.conf:
- CentOS ou Red Hat Enterprise Linux:
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<nome do servidor hospedando o serviço Squid>@<nome do domínio do Active Directory em letras maiúsculas>
auth_param negotiate children 100 startup=0 idle=10
auth_param negotiate keep_alive on
acl authenticated_user proxy_auth REQUIRED
http_access deny !authenticated_user
- SUSE Linux Enterprise Server:
auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<nome do servidor hospedando o serviço Squid>@<nome do domínio do Active Directory em letras maiúsculas>
auth_param negotiate children 100 startup=0 idle=10
auth_param negotiate keep_alive on
acl authenticated_user proxy_auth REQUIRED
http_access deny !authenticated_user
- Ubuntu, Debian ou ALT Server:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<nome do servidor hospedando o serviço Squid>@<nome do domínio do Active Directory em letras maiúsculas>
auth_param negotiate children 100 startup=0 idle=10
auth_param negotiate keep_alive on
acl authenticated_user proxy_auth REQUIRED
http_access deny !authenticated_user
- CentOS ou Red Hat Enterprise Linux:
- Se quiser ativar o log de eventos no modo de depuração, no arquivo /etc/squid/squid.conf, adicione o parâmetro
-d
na primeira cadeia de caractere.- CentOS ou Red Hat Enterprise Linux:
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<nome do servidor hospedando o serviço Squid>@<domínio do Active Directory>
- SUSE Linux Enterprise Server:
auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<nome do servidor que hospeda o serviço Squid>@<Active Directory realm em letras maiúsculas>
- Ubuntu, Debian ou ALT Server:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<nome do servidor hospedando o serviço Squid>@<nome do domínio do Active Directory em letras maiúsculas>
Os eventos de depuração serão gravados no arquivo /var/log/squid/cache.log.
- CentOS ou Red Hat Enterprise Linux:
- Se você deseja desativar o Reproduzir cache, faça o seguinte, dependendo do sistema operacional utilizado:
- Para CentOS ou Red Hat Enterprise Linux, adicione a seguinte linha ao arquivo /etc/sysconfig/squid:
KRB5RCACHETYPE=none
- Para Ubuntu 18.04.x, Debian 9.x ou ALT Server, adicione a seguinte linha ao arquivo /etc/default/squid:
KRB5RCACHETYPE=none
- Para SUSE Linux Enterprise Server 15.x ou Debian 10.x:
- Crie um arquivo chamado /etc/systemd/system/squid.service.d/override.conf com o seguinte conteúdo:
[Service]
Environment=KRB5RCACHETYPE=none
- Execute o seguintes comando:
systemctl daemon-reload
- Crie um arquivo chamado /etc/systemd/system/squid.service.d/override.conf com o seguinte conteúdo:
Reproduzir cache fica ativado por padrão.
Reproduzir cache fornece uma proteção mais confiável, mas pode reduzir o desempenho do aplicativo.
- Para CentOS ou Red Hat Enterprise Linux, adicione a seguinte linha ao arquivo /etc/sysconfig/squid:
- Reiniciar o serviço Squid. Para fazer isso, execute o comando:
service squid restart
- Nos computadores LAN empresariais, nas configurações do navegador, especifique o nome do domínio totalmente qualificado (FQDN) do servidor que hospeda o serviço Squid como o servidor proxy.
O serviço Squid agora está configurado para usar a autenticação Kerberos.