Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision		 Previous revision
Last revisionBoth sides next revision
linux_faq:настройка_аутентификации_kerberos_для_сервиса_systemd [2020/11/19 20:18] – [Реализация] adminlinux_faq:настройка_аутентификации_kerberos_для_сервиса_systemd [2020/11/19 20:20] – [Реализация] admin
Line 4: Line 4:
 ====== Реализация ====== ====== Реализация ======
 Мой **Squid** работает на **Ubuntu 20.04**, которая введена в домен с помощью samba, то есть файл **/etc/krb5.conf** уже настроен и **DOMAIN.LOCAL** прописан в нем как **default realm**. \\ Мой **Squid** работает на **Ubuntu 20.04**, которая введена в домен с помощью samba, то есть файл **/etc/krb5.conf** уже настроен и **DOMAIN.LOCAL** прописан в нем как **default realm**. \\
-Создадим keytab с помощью утилиты ktutil:+Создадим **keytab** с помощью утилиты **ktutil**:
 <code> <code>
 $ ktutil $ ktutil
Line 12: Line 12:
 ktutil:  q ktutil:  q
 </code> </code>
-В результате - в текущей директории будет файл с  хешем пароля пользователя, от имени которого squid будет аутентифицироваться на вышестоящем proxy. \\+В результате - в текущей директории будет файл с  хешем пароля пользователя, от имени которого **squid** будет аутентифицироваться на вышестоящем **upstream parent proxy**. \\
 Дальше - скопируем этот файл в директорию сквида и дадим ему прав на чтение этого файла: Дальше - скопируем этот файл в директорию сквида и дадим ему прав на чтение этого файла:
   sudo cp ./keytab.file.name /etc/squid/   sudo cp ./keytab.file.name /etc/squid/
   sudo chown proxy:proxy /etc/squid/keytab.file.name   sudo chown proxy:proxy /etc/squid/keytab.file.name
-Теперь в конфиге сквида нужно прописать parent proxy:+Теперь в конфиге сквида нужно прописать **parent proxy**:
   cache_peer parent-proxy.domain.local parent 3128 0 no-query default login=NEGOTIATE   cache_peer parent-proxy.domain.local parent 3128 0 no-query default login=NEGOTIATE
 Или, если вышестоящий прокси не умеет **digest** и **netdb-exchange** Или, если вышестоящий прокси не умеет **digest** и **netdb-exchange**
   cache_peer srv-proxy.rdleas.ru parent 3128 0 default no-query no-digest no-netdb-exchange login=NEGOTIATE   cache_peer srv-proxy.rdleas.ru parent 3128 0 default no-query no-digest no-netdb-exchange login=NEGOTIATE
 Тип аутентификации задается выражением **login=NEGOTIATE**. \\ Тип аутентификации задается выражением **login=NEGOTIATE**. \\
-Теперь нужно указать сквиду где ему брать keytab. Для этого в его  окружении должна прописаться переменная **KRB5_KTNAME**, значение которой - это путь до keytab-файла. В Ubuntu сервисы запускает systemd, поэтому создаю файл **/etc/systemd/system/squid.service.d/krb.conf** с таким содержимым: +Теперь нужно указать сквиду где ему брать keytab. Для этого в его  окружении должна прописаться переменная **KRB5_KTNAME**, значение которой - это путь до keytab-файла. В **Ubuntu** сервисы запускает **systemd**, поэтому создаю файл **/etc/systemd/system/squid.service.d/krb.conf** с таким содержимым: 
   [Service]   [Service]
   Environment="KRB5_KTNAME=/etc/squid/keytab.file.name"   Environment="KRB5_KTNAME=/etc/squid/keytab.file.name"
Line 29: Line 29:
 Если что-то идет не так, то добавляем в конфиг такое: Если что-то идет не так, то добавляем в конфиг такое:
   debug_options ALL,2   debug_options ALL,2
-И читаем лог. Логи работы с parent proxy будут в **/var/log/squid/cache.log**+И читаем лог. Логи работы с **parent proxy** будут в **/var/log/squid/cache.log**
  • linux_faq/настройка_аутентификации_kerberos_для_сервиса_systemd.txt
  • Last modified: 2020/11/19 20:22
  • by admin