Настройка поддержки Kerberos в Ubuntu Server / Debian
После того, как мы передали keytab-файл, его следует разместить в надежном месте и ограничить доступ.
Понятно, что домашняя директория пользователя не самое лучшее для этого место.
Так как работать с ним будет squid, то логично будет расположить keytab-файл в папке с настройками прокси-сервера.
Затем изменим владельца и установим ограниченные права на файл:
Код: Выделить всё
chown proxy:proxy /etc/squid/squid.keytab
chmod 640 /etc/squid/squid.keytab
Для поддержки Kerberos установим пакет krb5-user:
Теперь откроем файл /etc/krb5.conf, он содержит очень много ненужных параметров, поэтому удаляем или комментируем все лишнее, у вас должно остаться только то, что будет приведено ниже.
Первой идет секция libdefaults, которая содержит параметры по умолчанию,
а именно область Kerberos (опция создается автоматически) и keytab-файл:
Код: Выделить всё
[libdefaults]
default_realm = ИМЯ.ДОМЕНА
default_keytab_name = /etc/squid/squid.keytab
Следующая секция realms описывает области Kerberos, у нас она одна
Код: Выделить всё
[realms]
ИМЯ.ДОМЕНА = {
kdc = dc01.имя.домена
kdc = dc02.имя.домена
admin_server = dc01.имя.домена
default_domain = имя.домена
}
Здесь все понятно, единственного пояснения требует опция admin_server,
в ее качестве указываем контроллер домена, исполняющий FSMO-роль PDC.
Последняя секция сопоставляет домены с областями Kerberos:
Код: Выделить всё
[domain_realm]
.имя.домена = ИМЯ.ДОМЕНА
имя.домена = ИМЯ.ДОМЕНА
Сохраняем файл. Теперь проверим работу Kerberos, для этого выполним команду:
Если все сделано правильно, вы должны получить сообщение об успешной аутентификации.