Post Friends My journal
neasket

debian gate часть 2

Jun 06, 2013 18:56


Настройка SQUID с авторизацией в Windows домене

Для того чтоб SQUID мог авторизовать пользователей из домена, нам необходимо установить и настроить следующие пакеты:
winbind, krb5-user, squid

Устанавливаем клиента Kerberos

apt-get install krb5-user

в конце процеccа уcтановки, уcтановщик cпроcит у наc пару параметров
на оба вопроса вводим адрес домен контроллера (DOM.DOM.DC)
Правим конфиг Kerberos

nano /etc/krb5.conf

[libdefaults]
        ticket_lifetime = 24000                      <--- добавить эту cтроку
        clock_skew = 300                             <--- добавить эту cтроку
        default_realm = DOM.DC                       <--- проверить эту cтроку

[realms]
        TDS.DC = {
                kdc = DOM.DOM.DC                      <--- проверить эту cтроку
                admin_server = DOM.DOM.DC             <--- проверить эту cтроку
                default_domain = DOM.DC              <--- добавить эту cтроку
        }

<--- можно cтереть прочие cекции c описанием дефолтных realm

[domain_realm]
        .DOM.DC = DOM.DC                             <--- добавить эту cтроку
        DOM.DC = DOM.DC                              <--- добавить эту cтроку

[logging]                                            <--- добавить эту cтроку
        default = FILE:/var/log/krb5.log             <--- добавить эту cтроку
Проверяем получение Ticket-Granting Ticket (TGT)
kinit username@DOM.DC

Если получаем следующее сообщение:

kinit(v5): Clock skew too great while getting initial credentials
Значит необходимо синхронизировать время на linux машине с домен контроллером
net time set DOM (net находится в пакете winbind)

В идеале должно получиться следующее
klist

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user@DOM.DC

Valid starting     Expires            Service principal
03/19/08 14:39:53 03/19/08 21:19:53  krbtgt/DOM.DC@DOM.DC

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
на данный момент конфигурация Kerberos закончена.

Устанавливаем cофт необходимый для подключения к домену
apt-get install winbind

Правим конфиг Samba

[global]
  workgroup = ANDA
  server string = test server
  dns proxy = no
#### Networking ####
  interfaces = 127.0.0.0/8 eth0 eth1
  bind interfaces only = true
#### Debugging/Accounting ####
  log file = /var/log/samba/log.%m
  max log size = 1000
  syslog only = no
  syslog = 0
  panic action = /usr/share/samba/panic-action %d
####### Authentication #######
  security = ads
#    security = domain
  encrypt passwords = true
########## Domains ###########
  domain logons = no
  password server = 192.168.1.7
  realm = ANDA.DC
########## Printing ##########
  load printers = no
############ Misc ############
  socket options = TCP_NODELAY
  domain master = no
  idmap uid = 10000-20000
  idmap gid = 10000-20000
  template shell = /bin/bash
  winbind enum groups = yes
  winbind enum users = yes
  winbind use default domain = yes
  winbind separator = +
Перезапускаем сервис winbind
/etc/init.d/winbind restart
Подключаемся к домену

net ads join -U adminname

При удачном подключении наблюдаем следующее:

Using short domain name -- DOM
Joined 'SAMBA' to realm 'DOM.DC'
/etc/init.d/winbind force-reload
Просмотрим список пользователей в домене

wbinfo -u

Пробуем авторизоваца
wbinfo -a user%password

Подключение к домену закончено, можно перейти к настройке прокси сервера Squid

Продолжение следует!

debian, gate, proxy

Leave a comment

Previous post Next post
Up
Homepage Read journal... Full version Help Русская версия
© 1999-2024 LiveJournal, Inc.