Squid3 pe serverul freebsd 10

În squid3, există suport pentru negocierea autentificării folosind kerberos. Pentru aceasta, setați opțiunea squid la AUTH _KERB. așa cum se arată în figura de mai jos. Am menționat, de asemenea, posibilitatea autentificării prin intermediul ldap (opțiunea AUTH _LDAP), pentru a determina dacă utilizatorii aparțin unui anumit grup care există în AD.

Deci, să începem. La momentul redactării, avem următoarele:

Produceți calmarul de instalare:

Marcați opțiunile necesare:

Squid3 pe serverul freebsd 10

Și faceți instalarea în sine:

Toți asistenții necesari pentru autentificare vor găsi pe parcurs:

Acum este necesar să se efectueze unele lucrări pregătitoare importante.

Deși tot ceea ce este descris mai jos este valabil și pentru versiunea Heimdal 1.1.0 de pe FreeBSD 8.4, pe care am testat-o ​​personal.

Asigurați-vă că setați setările de rețea ale serverului FreeBSD la:

Verificați ieșirea comenzii hostname:

Dacă ieșirea nu vă convine, adăugați următoarea linie în /etc/rc.conf:

DNS-ul domeniului dvs. ar trebui să aibă un înregistrări PTR directe și reverse-descriind serverul FreeBSD pe care îl configurați squid (verificați interogarea pe unul dintre serverele dns):

Cred că este superfluă, dar totuși: domeniul dvs. trebuie să aibă sincronizare cu un singur server de timp - atât dc, cât și serverul FreeBSD și computerele client ale utilizatorilor.

Ultima presupunere este că pe serverul dvs. FreeBSD nu există alte servicii de lucru care să utilizeze kerberos.

Aici este configurarea fișierului /etc/krb5.conf la formularul următor (sursă - wiki.squid-cache.org):

Mergeți la dc, executați cmd.exe și introduceți caracterele magice într-o singură linie:

Ajutați-vă pe această comandă pe care o obțineți de ktpass -. Rețineți sintaxa din această comandă. A trebuit să experimentez mult înainte de a putea face un fel de lucrare. A fost obținută cu aceste chei.

Ieșirea comenzii ktpass pentru a obține kaitab:

Rețineți că numele de utilizator calificat pentru a intra în domeniu se va schimba la:

Squid3 pe serverul freebsd 10

Acum mutați (se recomandă să faceți acest lucru "sekurno") pe care a primit kaitab-ul de la controlerul de domeniu pe serverul FreeBSD și îl puneți în directorul / usr / local / etc / squid. sau la locul pe care l-ați specificat în /etc/krb5.conf. Rețineți unul, dacă nu ați specificat un fișier keitaba, așa cum am făcut-o, keitab-ul implicit, care trebuie denumit și localizat: /etc/krb5.keytab, va fi luat în considerare.

Acum puteți încerca să obțineți biletul de inițiere din domeniul dvs. Aceasta se face prin comanda:

Dacă în acest stadiu ați eșuat (produce greșeli), în viitor nu veți face nimic. Verificat ... :(

Deoarece acest bilet nu mai este util pentru noi, distruge-l cu comanda kdestroy și verificați:

În cele din urmă, trebuie să spunem squid unde ar trebui să ia kaitab. Aceasta este o opțiune foarte importantă de a alerga! Puneți următoarele rânduri în /etc/rc.conf:

- unde squid_krb5_ktname este fișierul specificat în /etc/krb5.conf. unde ați pus pachetul primit de la controlorul de domeniu kaitab.

Acum, în sfârșit, puteți începe calmarul și puteți monitoriza funcționarea acestuia:

În cele din urmă, voi da fișierul meu de configurare completă de lucru cache squid server (toate citate - direct):

Autentificarea de bază este utilizată de mine pentru a accesa Internetul prin utilizatori de squid din computerele care nu fac parte din domeniu. Pe astfel de computere este necesar să introduceți datele de conectare și parola unui utilizator din domeniu.

O notă importantă: în setările browserului ca server proxy, este necesar să specificați nu FQDN (Domain Full Name Qualified), nu ip, ci FQDN (Full Domain Name Full Qualified). Ie nu 192.168.0.3, ci squid.domain.ru. Pentru a face această setare prin AD, procedați astfel:

Deschideți modulul de gestionare a politicii grupului. selectați Obiectele de politică de grup necesare (în cazul meu - test), Editați -> Configurație utilizator -> Configurație Windows -> Configurare Internet Explorer -> Conectați și introduceți setările (squid.domain.ru, port 3128):

Squid3 pe serverul freebsd 10

Acum, asta e tot!

P.S. Este posibil să aveți dificultăți la accesarea Internetului cu autentificare kerberos de pe computerele care rulează Windows XP. Da, există încă o mulțime de astfel de în rețeaua mea. De fapt, chiar dacă există un server NTP în rețea pentru a sincroniza timpul tuturor dispozitivelor, acesta (sincronizarea) nu funcționează corect în Windows XP. Microsoft a oprit în siguranță acest sistem de operare, astfel încât actualizarea fusului orar pentru aceasta nu a fost lansată după ultima lege privind trecerea la "timpul de iarnă" din Rusia. Pentru a remedia această neînțelegere, trebuie să resetați manual fusul orar. De exemplu, pentru MSK, setați proprietățile datei și orei pentru zona Kaliningrad (GMT +03: 00):

Squid3 pe serverul freebsd 10

Articole similare