blog.it-kb.ru
Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 4. Конфигурация Kerberos и NTLM - Блог IT-KB
В этой части мы рассмотрим порядок настройки Ubuntu Server 14.04 LTS для обеспечения возможности работы с механизмами аутентификации пользователей прокси-сервера Squid 3 по протоколам Kerberos и NTLM в среде домена Active Directory (AD). Для поддержки NTLM наш Linux-сервер будет присоединён к домену AD, а для поддержки Kerberos для сервера в домене будет создана специальная служебная учетная запись пользователя. В дальнейшем при конфигурации Squid, протокол Kerberos будет использоваться как приоритетный, а протокол NTLM будет применяться в случаях когда клиент прокси-сервера по какой-то причине не может использовать Kerberos. Добавляем поддержку Kerberos Сначала проверим список установленных пакетов dpkg-query --list | grep krb krb5-locales 1.12+dfsg-2ubuntu4 all Internationalization support for MIT Kerberos libgssapi-krb5-2:amd64 1.12+dfsg-2ubuntu4 amd64 MIT Kerberos runtime libraries krb5 GSS-API Mechanism libkrb5-26-heimdal:amd64 1.6~git20131207+dfsg-1ubuntu1 amd64 Heimdal Kerberos - libraries libkrb5-3:amd64 1.12+dfsg-2ubuntu4 amd64 MIT Kerberos runtime libraries libkrb5support0:amd64 1.12+dfsg-2ubuntu4 amd64 MIT Kerberos runtime libraries - Support library Можно встретить упоминания о том что нужно установить пакеты krb5-user и libkrb53. Однако в нашем случае установка пакета libkrb53 будет безуспешна и, как я понял, в системе уже присутствует заменяющий пакет libkrb5-3, поэтому мы выполним установку только пакета krb5-user sudo apt-get install krb5-user Сохраним на всякий случай появившийся в системе после установки пакета krb5-user конфигурационный файл krb5.conf в krb5.conf.default и откроем исходный файл в текстовом редакторе (с подсветкой синтаксиса): sudo cp /etc/krb5.conf /etc/krb5.conf.default sudo nano -Y sh /etc/krb5.conf Очистим содержимое файла (или закомментируем все открытые строки) и впишем туда следующие строки: [libdefaults] default_realm = HOLDING.COM dns_lookup_kdc = no dns_lookup_realm = no ticket_lifetime = 24h default_keytab_name = /etc/squid3/PROXY.keytab # for Windows 2003 # default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5 # default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5 # permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5 # for Windows 2008 with AES default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 [realms] HOLDING.COM = { kdc =