https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Squid-keberos-neu 2026-06-29T04:07:42Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Squid-keberos-neu&diff=56647&oldid=prev 2024-10-02T13:53:17Z

<p>Die Seite wurde neu angelegt: „== Erstellen einer Keytab-Datei für den Squid-Dienst == Diese Anleitung beschreibt die Schritte zur Erstellung einer Keytab-Datei für die Integration des Sq…“</p> <p><b>Neue Seite</b></p><div>== Erstellen einer Keytab-Datei für den Squid-Dienst ==<br /> <br /> Diese Anleitung beschreibt die Schritte zur Erstellung einer Keytab-Datei für die Integration des Squid-Proxys mit Active Directory für die Kerberos-Authentifizierung.<br /> <br /> === Schritt 1: Erstellen eines Benutzerkontos im Active Directory ===<br /> * Öffnen Sie auf dem Domänencontroller die Konsole &quot;Active Directory-Benutzer und -Computer&quot;.<br /> * Erstellen Sie ein neues Benutzerkonto, z. B. mit dem Namen '''squid-user'''.<br /> * Optional: Aktivieren Sie in den Eigenschaften des Benutzerkontos auf der Registerkarte &quot;Konto&quot; die Option '''This account supports Kerberos AES 256 bit encryption'''.<br /> <br /> === Schritt 2: Erstellen der Keytab-Datei mit `ktpass` ===<br /> * Öffnen Sie eine Eingabeaufforderung mit Administratorrechten auf dem Domänencontroller.<br /> * Führen Sie folgenden Befehl aus, um eine Keytab-Datei für den Benutzer `squid-user` zu erstellen:<br /> &lt;code&gt;<br /> C:\Windows\system32\ktpass.exe -princ HTTP/proxy.lab34.linuggs.de@LAB34.LINUGGS.DE -mapuser squid-user@LAB34.LINUGGS.DE -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\squid.keytab<br /> &lt;/code&gt;<br /> **Erklärung der Parameter:**<br /> * '''-princ''': Gibt den Dienstprinzipalnamen (SPN) an. Verwenden Sie den FQDN des Servers in Kleinbuchstaben und den Realm in Großbuchstaben.<br /> * '''-mapuser''': Das Benutzerkonto, das Sie in Active Directory erstellt haben.<br /> * '''-crypto AES256-SHA1''': Verschlüsselungsalgorithmus.<br /> * '''-ptype KRB5_NT_PRINCIPAL''': Typ des Kerberos-Prinzips.<br /> * '''-pass *''': Sie werden aufgefordert, das Passwort für den `squid-user` einzugeben.<br /> * '''+dumpsalt''': Zeigt den generierten Salt an. Notieren Sie diesen Wert, da Sie ihn später benötigen.<br /> * '''-out''': Der Pfad und der Dateiname der zu erstellenden Keytab-Datei.<br /> <br /> * Notieren Sie sich den generierten Salt-Wert, z. B. '''LAB34.LINUGGS.DEHTTPproxy.lab34.linuggs.de'''.<br /> <br /> === Schritt 3: Übertragen der Keytab-Datei auf den Proxy-Server ===<br /> * Kopieren Sie die erstellte Keytab-Datei (z. B. '''C:\keytabs\squid.keytab''') vom Domänencontroller auf den Proxy-Server. Verwenden Sie dafür ein Dateitransferwerkzeug wie `scp` oder eine Netzfreigabe.<br /> * Verschieben Sie die Keytab-Datei auf dem Proxy-Server nach '''/etc/squid/''':<br /> &lt;code&gt;<br /> sudo cp /path/to/squid.keytab /etc/squid/squid.keytab<br /> &lt;/code&gt;<br /> <br /> === Schritt 4: Zugriffsrechte auf die Keytab-Datei festlegen ===<br /> * Setzen Sie die Berechtigungen der Keytab-Datei so, dass der Benutzer, unter dem Squid läuft ('''proxy'''), darauf zugreifen kann:<br /> &lt;code&gt;<br /> sudo chown proxy:proxy /etc/squid/squid.keytab<br /> sudo chmod 400 /etc/squid/squid.keytab<br /> &lt;/code&gt;<br /> <br /> === Schritt 5: Konfiguration des Squid-Dienstes für Kerberos-Authentifizierung ===<br /> * Öffnen Sie die Squid-Konfigurationsdatei:<br /> &lt;code&gt;<br /> sudo nano /etc/squid/squid.conf<br /> &lt;/code&gt;<br /> * Fügen Sie die folgenden Zeilen am Anfang der Datei hinzu:<br /> &lt;code&gt;<br /> auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/proxy.lab34.linuggs.de@LAB34.LINUGGS.DE<br /> auth_param negotiate children 100 startup=0 idle=10<br /> auth_param negotiate keep_alive on<br /> <br /> acl authenticated_user proxy_auth REQUIRED<br /> http_access deny !authenticated_user<br /> &lt;/code&gt;<br /> <br /> === Schritt 6: Neustart des Squid-Dienstes ===<br /> * Laden Sie die Systemd-Konfiguration neu und starten Sie den Squid-Dienst:<br /> &lt;code&gt;<br /> sudo systemctl daemon-reload<br /> sudo systemctl restart squid<br /> &lt;/code&gt;<br /> <br /> === Schritt 7: Testen der Kerberos-Authentifizierung ===<br /> * Auf dem Proxy-Server:<br /> &lt;code&gt;<br /> kinit -V -k -t /etc/squid/squid.keytab HTTP/proxy.lab34.linuggs.de@LAB34.LINUGGS.DE<br /> &lt;/code&gt;<br /> * Überprüfen Sie die Squid-Logs unter '''/var/log/squid/cache.log''', um sicherzustellen, dass die Kerberos-Authentifizierung funktioniert.<br /> <br /> === Zusätzliche Schritte bei Clustern oder mehreren Knoten ===<br /> * Falls Sie eine Keytab-Datei für mehrere Knoten (Cluster) erstellen, fügen Sie zusätzliche SPNs wie in der Anleitung beschrieben hinzu und verwenden Sie dabei den vorher generierten Salt-Wert.<br /> <br /> == Zusammenfassung ==<br /> 1. Erstellen Sie ein `squid-user`-Konto in Active Directory.<br /> 2. Erstellen Sie eine Keytab-Datei mit dem `ktpass`-Tool auf dem Domänencontroller.<br /> 3. Übertragen Sie die Keytab-Datei auf den Proxy-Server und passen Sie die Zugriffsrechte an.<br /> 4. Konfigurieren Sie den Squid-Dienst, um Kerberos-Authentifizierung zu verwenden.<br /> 5. Starten Sie den Squid-Dienst neu und testen Sie die Konfiguration.</div>

Thomas.will