Добрый день.
Подскажите, как настроить прозрачную аутентификацию пользователей ALD с помощью kerberos на прокси squid под freebsd?
ting-nofs.astra.int - сквид
Релизы контроллера ald и рабочих станций orel 2.12
На freebsd установлен пакет heimdal-7.5.0_2, настроен krb5.conf
less /etc/krb5.conf
[libdefaults]
default_realm = ASTRA.INT
dns_lookup_kdc = no
dns_lookup_realm = no
ticket_lifetime = 24h
default_keytab_name = /usr/local/etc/squid/squid.keytab
default_as_etypes = aes256-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5
default_tgs_etypes = aes256-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5
[realms]
ASTRA.INT = {
kdc = 192.168.2.2
admin_server = 192.168.2.2
default_domain = astra.int
}
[domain_realm]
astra.int = ASTRA.INT
В squid.conf
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -i -s HTTP/ting-nofs.astra.int@ASTRA.INT
На астре с помощью ald-admin добавил принципалы сквида:
ald-admin service-add HTTP/ting-nofs.astra.int
Потом добавил с помощью kadmin ktadd в кейтаб squid.keytab
принципалы сквида и админа ald.
Переписал squid.keytab на прокси.
кейтаб:
Vno Type Principal Aliases
3 unknown (32) HTTP/ting-nofs.astra.int@ASTRA.INT
3 aes256-cts-hmac-sha1-96 HTTP/ting-nofs.astra.int@ASTRA.INT
3 des-cbc-crc HTTP/ting-nofs.astra.int@ASTRA.INT
3 arcfour-hmac-md5 HTTP/ting-nofs.astra.int@ASTRA.INT
2 unknown (32) adminchik@ASTRA.INT
2 aes256-cts-hmac-sha1-96 adminchik@ASTRA.INT
2 des-cbc-crc adminchik@ASTRA.INT
2 arcfour-hmac-md5 adminchik@ASTRA.INT
На астре вместо unknown тип шифрования gost-cts-hmac-streebog256.
На прокси проверяю кейтаб:
kinit -k -t /usr/local/etc/squid/squid.keytab HTTP/ting-nofs.astra.int@ASTRA.INT
klist показывает
Credentials cache: FILE:/tmp/krb5cc_0
Principal: HTTP/ting-nofs.astra.int@ASTRA.INT
Issued Expires Principal
Feb 26 11:20:59 2019 Feb 26 21:20:59 2019 krbtgt/ASTRA.INT@ASTRA.INT
На рабочей машине в браузере в настройках указываю полное имя прокси: ting-nofs.astra.int
в /var/log/squid/cache.log
kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: gss_accept_sec_context() failed: Miscellaneous failure (see text). encryption type 32 not supported; }}
negotiate_kerberos_auth: INFO: User not authenticated
Получается ошибка из-за шифрования gost-cts-hmac-streebog256 ? Но и на астре и на прокси поддерживаются aes256-cts-hmac-sha1-96
Подскажите, как настроить прозрачную аутентификацию пользователей ALD с помощью kerberos на прокси squid под freebsd?
ting-nofs.astra.int - сквид
Релизы контроллера ald и рабочих станций orel 2.12
На freebsd установлен пакет heimdal-7.5.0_2, настроен krb5.conf
less /etc/krb5.conf
[libdefaults]
default_realm = ASTRA.INT
dns_lookup_kdc = no
dns_lookup_realm = no
ticket_lifetime = 24h
default_keytab_name = /usr/local/etc/squid/squid.keytab
default_as_etypes = aes256-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5
default_tgs_etypes = aes256-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5
[realms]
ASTRA.INT = {
kdc = 192.168.2.2
admin_server = 192.168.2.2
default_domain = astra.int
}
[domain_realm]
astra.int = ASTRA.INT
В squid.conf
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -i -s HTTP/ting-nofs.astra.int@ASTRA.INT
На астре с помощью ald-admin добавил принципалы сквида:
ald-admin service-add HTTP/ting-nofs.astra.int
Потом добавил с помощью kadmin ktadd в кейтаб squid.keytab
принципалы сквида и админа ald.
Переписал squid.keytab на прокси.
кейтаб:
Vno Type Principal Aliases
3 unknown (32) HTTP/ting-nofs.astra.int@ASTRA.INT
3 aes256-cts-hmac-sha1-96 HTTP/ting-nofs.astra.int@ASTRA.INT
3 des-cbc-crc HTTP/ting-nofs.astra.int@ASTRA.INT
3 arcfour-hmac-md5 HTTP/ting-nofs.astra.int@ASTRA.INT
2 unknown (32) adminchik@ASTRA.INT
2 aes256-cts-hmac-sha1-96 adminchik@ASTRA.INT
2 des-cbc-crc adminchik@ASTRA.INT
2 arcfour-hmac-md5 adminchik@ASTRA.INT
На астре вместо unknown тип шифрования gost-cts-hmac-streebog256.
На прокси проверяю кейтаб:
kinit -k -t /usr/local/etc/squid/squid.keytab HTTP/ting-nofs.astra.int@ASTRA.INT
klist показывает
Credentials cache: FILE:/tmp/krb5cc_0
Principal: HTTP/ting-nofs.astra.int@ASTRA.INT
Issued Expires Principal
Feb 26 11:20:59 2019 Feb 26 21:20:59 2019 krbtgt/ASTRA.INT@ASTRA.INT
На рабочей машине в браузере в настройках указываю полное имя прокси: ting-nofs.astra.int
в /var/log/squid/cache.log
kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: gss_accept_sec_context() failed: Miscellaneous failure (see text). encryption type 32 not supported; }}
negotiate_kerberos_auth: INFO: User not authenticated
Получается ошибка из-за шифрования gost-cts-hmac-streebog256 ? Но и на астре и на прокси поддерживаются aes256-cts-hmac-sha1-96