3.2 Настройка автоматической авторизации доменных пользователей IPA в squid

Ввод сервера squid в домен IPA:

Для ввода сервера в домен IPA выполните команду:

# ipa-client-install --enable-dns-updates --mkhomedir
Важно
Проверьте правильность записи DNS в файле /etc/resolv.conf, должен быть указан DNS контроллера домена IPA. Более подробно о вводе в домен написано в статье Ввод РЕД ОС в домен IPA

Установка squid

Для установки squid выполните команду:

# yum install squid

Добавьте сервис в автозагрузку, выполнив команду:

# systemctl enable squid

Настройка конфигурации squid

Отредактируйте файл  /etc/squid/squid.conf любым текстовым редактором

# vi /etc/squid/squid.conf

Добавьте строки для включения авторизации через kerberos

auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -s HTTP/squid.example.com
auth_param negotiate children 10
auth_param negotiate keep_alive on
acl auth proxy_auth REQUIRED

Закомментируйте строки

#http_access allow localnet
#http_access allow localhost

Добавьте следующие строки

http_access deny !auth
http_access allow auth

Создание kerberos keytab для доступа Squid HTTP

На сервере IPA выполните:

# kinit admin
Password for admin@EXAMPLE.COM:
# ipa service-add HTTP/squid.example.com

Вывод команды должен быть следующим:

----------------------------------------------------
Added service "HTTP/squid.example.com@EXAMPLE.COM"
----------------------------------------------------
  Principal: HTTP/squid.example.com@EXAMPLE.COM
  Managed by: squid.example.com

На сервере squid выполните:

# ipa-getkeytab -s dc.example.com -p HTTP/squid.example.com -k /etc/squid/krb5.keytab

При правильном выполнении команды выведет:

Keytab successfully retrieved and stored in: /etc/squid/krb5.keytab

Измените права доступа к файлу /etc/squid/krb5.keytab

# chown root:squid /etc/squid/krb5.keytab 
# chmod 640 /etc/squid/krb5.keytab

Отредактируйте файл /etc/sysconfig/squid и добавьте в него следующие строки:

KRB5_KTNAME=/etc/squid/krb5.keytab export 
KRB5_KTNAME

Перезапустите squid

#systemctl restart squid

Откройте порт в IPTables:

# iptables -I INPUT -p tcp --dport 3128 -j ACCEPT
# service iptables save

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.

Print Friendly, PDF & Email