Инструменты пользователя

Инструменты сайта


аутентификация_доступа_к_squid

Это старая версия документа.


Аутентификация доступа к SQUID

Kerberos GSSAPI аутентификация

Создаем ключи сервиса и копируем иx на сервер

Если в роли KDC выступает Active Directory

Добавляем пользователя в AD
Login: gatehttp
Password: Pa$$w0rd

Пароль не меняется и не устаревает

Создаем ключ сервиса http связывая его с фиктивным пользователем AD

В Windows 2003 устанавливаем Microsoft Windows Support Tools

Название сервиса HTTP обязательно заглавными буквами

C:\>ktpass -princ HTTP/gate.corpX.un@CORPX.UN -mapuser gatehttp -pass 'Pa$$w0rd' -out gatehttp.keytab
Копируем ключ сервиса http сервер squid
C:\>pscp gatehttp.keytab root@gate:

Если в роли KDC выступает HEIMDAL (FreeBSD)

[server:~] # kadmin -l
kadmin> add -r HTTP/gate.corpX.un
kadmin> add -r HTTP/gate.CORPX.UN

kadmin> ext -k gatehttp.keytab HTTP/gate.corpX.un
kadmin> ext -k gatehttp.keytab HTTP/gate.CORPX.UN

kadmin> exit

Если в роли KDC выступает MIT (Ubuntu)

root@server:~# kadmin.local
kadmin.local:  addprinc -randkey HTTP/gate.corpX.un
kadmin.local:  addprinc -e rc4-hmac:normal -randkey HTTP/gate.CORPX.UN

kadmin.local:  ktadd -k gatehttp.keytab HTTP/gate.corpX.un
kadmin.local:  ktadd -k gatehttp.keytab HTTP/gate.CORPX.UN

kadmin.local:  exit

Копируем ключи на сервер

server# scp gatehttp.keytab gate:

Копируем ключи в системный keytab

FreeBSD

gate# ktutil copy /root/gatehttp.keytab /etc/krb5.keytab
gate# touch /etc/srvtab

gate# ktutil list

Ubuntu

root@gate:~# ktutil
ktutil: rkt /root/gatehttp.keytab
ktutil: list
ktutil: wkt /etc/krb5.keytab
ktutil: quit

root@gate:~# klist -ek /etc/krb5.keytab

FreeBSD, Ubuntu

gate# chmod +r /etc/krb5.keytab

Настройка сервиса SQUID на использование GSSAPI

gate# cat squid.conf
...
# OPTIONS FOR AUTHENTICATION
...
#For Ubuntu10.04
#auth_param negotiate program /usr/lib/squid/squid_kerb_auth -d

#For Ubuntu12.04
#auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d

#For FreeBSD
#auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth -d
...
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
...
acl inetuser proxy_auth REQUIRED
http_access allow inetuser
# http_access allow localnet

Winbind аутентификация

Аутентификация в режиме DOMAIN (Сервис WINBIND)

FreeBSD

[gate:~] # chown root:squid /var/db/samba/winbindd_privileged/

или

[gate:~] # chown root:squid /var/db/samba34/winbindd_privileged/

или

[gate:~] # pw usermod squid -G wheel

Ubuntu

root@gate:~# usermod -G winbindd_priv proxy 

FreeBSD/Ubuntu

gate# cat squid.conf
...
# OPTIONS FOR AUTHENTICATION
...
# for linux uncomment
# auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

# for freebsd uncomment
# auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
...
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
...
acl inetuser proxy_auth REQUIRED
http_access allow inetuser
# http_access allow localnet

NCSA basic аутентификация

# cat /etc/squid3/squid.conf
...
auth_param basic program /usr/lib/squid3/ncsa_auth /usr/etc/passwd
...
# mkdir /usr/etc/

# apt-get install apache2-util

# touch /usr/etc/passwd

# htpasswd /usr/etc/passwd user1

PAM basic аутентификация

pam_unix (по умолчанию)

# chmod u+s /usr/lib/squid3/pam_auth

# cat /etc/squid3/squid.conf
...
auth_param basic program /usr/lib/squid3/pam_auth
...

pam_radius

# cat /etc/pam.d/squid
auth       sufficient   pam_radius_auth.so

RADIUS basic аутентификация

# vim /etc/squid3/squid.conf
...
auth_param basic program /usr/lib/squid3/squid_radius_auth -h server.corpX.un -w testing123
...

Использование протокола SSL для basic аутентификации

# vim /etc/squid3/squid.conf
...
#http_access allow localnet
#http_access allow localhost
acl inetuser proxy_auth REQUIRED
http_access allow inetuser
...
http_port 127.0.0.1:3128
...
аутентификация_доступа_к_squid.1396348467.txt.gz · Последние изменения: 2014/04/01 14:34 — val