Archiv štítku: Kerberos

Nastavení kerberos na CentOS

Konfigurace Kerberos

[libdefaults] 
default_realm = DOMAIN.INTERNAL 
dns_lookup_kdc = no 
dns_lookup_realm = no 
ticket_lifetime = 24h 
default_keytab_name = /etc/squid/PROXY.keytab 
default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5 

[realms] 

DOMAIN.INTERNAL = { 
kdc = dc.domain.internal 
admin_server = dc.domain.internal 
default_domain = domain.internal 
} 

[domain_realm] 
.domain.internal = DOMAIN.INTERNAL 
domain.internal = DOMAIN.INTERNAL

funkci vyzkoušíme pomocí:

kinit administrator

případně:

klist

pak nainstalovat msktutil, stáhnout z webu RPM verze 0.4, ta dostupná pomocí yum je zastaralá

vyzkoušet lze přidání účtu do domény:

msktutil -c -b "CN=COMPUTERS" -s HTTP/proxy.domain.internal -k /etc/squid/PROXY.keytab --computer-name PROXY \
--upn HTTP/proxy.domain.internal –-server dc.domain.internal --verbose --enctypes 28

tím by se mělo vytvořit keytab v adresáři squidu

nastavíme práva

chgrp squid /etc/squid/PROXY.keytab
chmod g+r /etc/squid/PROXY.keytab

aktualizujeme keytab

msktutil --auto-update --verbose --computer-name proxy -k /etc/squid/PROXY.keytab

do crontab přidáme

00 4  *   *   *     msktutil --auto-update --verbose --computer-name proxy | logger -t msktutil

squid musí vědět, kde hledat keytab

echo "export KRB5_KTNAME=/etc/squid/PROXY.keytab" | tee /etc/default/squid