Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Last revisionBoth sides next revision
linux_faq:настройка_аутентификации_kerberos_для_сервиса_systemd [2020/11/19 20:18] – [Реализация] adminlinux_faq:настройка_аутентификации_kerberos_для_сервиса_systemd [2020/11/19 20:20] – [Реализация] admin
Line 4: Line 4:
 ====== Реализация ====== ====== Реализация ======
 Мой **Squid** работает на **Ubuntu 20.04**, которая введена в домен с помощью samba, то есть файл **/etc/krb5.conf** уже настроен и **DOMAIN.LOCAL** прописан в нем как **default realm**. \\ Мой **Squid** работает на **Ubuntu 20.04**, которая введена в домен с помощью samba, то есть файл **/etc/krb5.conf** уже настроен и **DOMAIN.LOCAL** прописан в нем как **default realm**. \\
-Создадим keytab с помощью утилиты ktutil:+Создадим **keytab** с помощью утилиты **ktutil**:
 <code> <code>
 $ ktutil $ ktutil
Line 12: Line 12:
 ktutil:  q ktutil:  q
 </code> </code>
-В результате - в текущей директории будет файл с  хешем пароля пользователя, от имени которого squid будет аутентифицироваться на вышестоящем proxy. \\+В результате - в текущей директории будет файл с  хешем пароля пользователя, от имени которого **squid** будет аутентифицироваться на вышестоящем **upstream parent proxy**. \\
 Дальше - скопируем этот файл в директорию сквида и дадим ему прав на чтение этого файла: Дальше - скопируем этот файл в директорию сквида и дадим ему прав на чтение этого файла:
   sudo cp ./keytab.file.name /etc/squid/   sudo cp ./keytab.file.name /etc/squid/
   sudo chown proxy:proxy /etc/squid/keytab.file.name   sudo chown proxy:proxy /etc/squid/keytab.file.name
-Теперь в конфиге сквида нужно прописать parent proxy:+Теперь в конфиге сквида нужно прописать **parent proxy**:
   cache_peer parent-proxy.domain.local parent 3128 0 no-query default login=NEGOTIATE   cache_peer parent-proxy.domain.local parent 3128 0 no-query default login=NEGOTIATE
 Или, если вышестоящий прокси не умеет **digest** и **netdb-exchange** Или, если вышестоящий прокси не умеет **digest** и **netdb-exchange**
   cache_peer srv-proxy.rdleas.ru parent 3128 0 default no-query no-digest no-netdb-exchange login=NEGOTIATE   cache_peer srv-proxy.rdleas.ru parent 3128 0 default no-query no-digest no-netdb-exchange login=NEGOTIATE
 Тип аутентификации задается выражением **login=NEGOTIATE**. \\ Тип аутентификации задается выражением **login=NEGOTIATE**. \\
-Теперь нужно указать сквиду где ему брать keytab. Для этого в его  окружении должна прописаться переменная **KRB5_KTNAME**, значение которой - это путь до keytab-файла. В Ubuntu сервисы запускает systemd, поэтому создаю файл **/etc/systemd/system/squid.service.d/krb.conf** с таким содержимым: +Теперь нужно указать сквиду где ему брать keytab. Для этого в его  окружении должна прописаться переменная **KRB5_KTNAME**, значение которой - это путь до keytab-файла. В **Ubuntu** сервисы запускает **systemd**, поэтому создаю файл **/etc/systemd/system/squid.service.d/krb.conf** с таким содержимым: 
   [Service]   [Service]
   Environment="KRB5_KTNAME=/etc/squid/keytab.file.name"   Environment="KRB5_KTNAME=/etc/squid/keytab.file.name"
  • linux_faq/настройка_аутентификации_kerberos_для_сервиса_systemd.txt
  • Last modified: 2020/11/19 20:22
  • by admin