Konfigurace Kerberos
[libdefaults] default_realm = DOMAIN.INTERNAL dns_lookup_kdc = no dns_lookup_realm = no ticket_lifetime = 24h default_keytab_name = /etc/squid/PROXY.keytab default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 [realms] DOMAIN.INTERNAL = { kdc = dc.domain.internal admin_server = dc.domain.internal default_domain = domain.internal } [domain_realm] .domain.internal = DOMAIN.INTERNAL domain.internal = DOMAIN.INTERNAL
funkci vyzkoušíme pomocí:
kinit administrator
případně:
klist
pak nainstalovat msktutil, stáhnout z webu RPM verze 0.4, ta dostupná pomocí yum je zastaralá
vyzkoušet lze přidání účtu do domény:
msktutil -c -b "CN=COMPUTERS" -s HTTP/proxy.domain.internal -k /etc/squid/PROXY.keytab --computer-name PROXY \ --upn HTTP/proxy.domain.internal –-server dc.domain.internal --verbose --enctypes 28
tím by se mělo vytvořit keytab v adresáři squidu
nastavíme práva
chgrp squid /etc/squid/PROXY.keytab chmod g+r /etc/squid/PROXY.keytab
aktualizujeme keytab
msktutil --auto-update --verbose --computer-name proxy -k /etc/squid/PROXY.keytab
do crontab přidáme
00 4 * * * msktutil --auto-update --verbose --computer-name proxy | logger -t msktutil
squid musí vědět, kde hledat keytab
echo "export KRB5_KTNAME=/etc/squid/PROXY.keytab" | tee /etc/default/squid