3.5.4.1.3 Настройка автоматической авторизации доменных пользователей IPA в squid
Скачать документВвод сервера squid в домен IPA:
Для ввода сервера в домен IPA выполните команду:
# ipa-client-install --enable-dns-updates --mkhomedir
Проверьте правильность записи DNS в файле /etc/resolv.conf, должен быть указан DNS контроллера домена IPA. Более подробно о вводе в домен написано в статье «Ввод клиентских машин в домен IPA».
Установка squid
Для установки squid выполните команду:
# dnf install squid
Добавьте сервис в автозагрузку, выполнив команду:
# systemctl enable squid
Настройка конфигурации squid
Отредактируйте файл /etc/squid/squid.conf любым текстовым редактором
# vi /etc/squid/squid.conf
Добавьте строки для включения авторизации через kerberos
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -s HTTP/squid.example.com auth_param negotiate children 10 auth_param negotiate keep_alive on acl auth proxy_auth REQUIRED
Закомментируйте строки
#http_access allow localnet #http_access allow localhost
Добавьте следующие строки
http_access deny !auth http_access allow auth
Создание kerberos keytab для доступа Squid HTTP
На сервере IPA выполните:
# kinit admin Password for admin@EXAMPLE.COM: # ipa service-add HTTP/squid.example.com
Вывод команды должен быть следующим:
---------------------------------------------------- Added service "HTTP/squid.example.com@EXAMPLE.COM" ---------------------------------------------------- Principal: HTTP/squid.example.com@EXAMPLE.COM Managed by: squid.example.com
На сервере squid выполните:
# kinit admin # ipa-getkeytab -s dc.example.com -p HTTP/squid.example.com -k /etc/squid/krb5.keytab
При правильном выполнении команды выведет:
Keytab successfully retrieved and stored in: /etc/squid/krb5.keytab
Измените права доступа к файлу /etc/squid/krb5.keytab
# chown root:squid /etc/squid/krb5.keytab # chmod 640 /etc/squid/krb5.keytab
Отредактируйте файл /etc/sysconfig/squid и добавьте в него следующие строки:
KRB5_KTNAME=/etc/squid/krb5.keytab export KRB5_KTNAME
Перезапустите squid
#systemctl restart squid
Откройте порт в IPTables:
# iptables -I INPUT -p tcp --dport 3128 -j ACCEPT # service iptables save
Дата последнего изменения: 20.09.2024
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.