6.3. kerberos 認証を使用したキャッシングプロキシーとしての Squid の設定

手順

1. 以下のパッケージをインストールします。

   # yum install squid krb5-workstation

2. AD ドメイン管理者として認証します。

   # kinit administrator@AD.EXAMPLE.COM

3. Squid 用のキータブを作成し、それを /etc/squid/HTTP.keytab ファイルに保存し、HTTP サービスプリンシパルをキータブに追加します。

   # export KRB5_KTNAME=FILE:/etc/squid/HTTP.keytab
   # net ads keytab CREATE -U administrator
   # net ads keytab ADD HTTP -U administrator

4. オプション: システムが (adcli 経由で) 最初にレルムを使用して AD ドメインに参加している場合、次の手順に従って HTTP プリンシパルを追加し、squid 用のキータブファイルを作成します。

   1. HTTP サービスプリンシパルをデフォルトのキータブファイル /etc/krb5.keytab に追加し、検証します。

      # adcli update -vvv --domain=ad.example.com --computer-name=PROXY --add-service-principal="HTTP/proxy.ad.example.com" -C
      # klist -kte /etc/krb5.keytab | grep -i HTTP

   2. /etc/krb5.keytab ファイルをロードし、HTTP 以外のすべてのサービスプリンシパルを削除し、残りのプリンシパルを /etc/squid/HTTP.keytab ファイルに保存します。

      # ktutil
      ktutil:  rkt /etc/krb5.keytab
      ktutil:  l -e
      slot | KVNO | Principal
      -----------------------------------------------------------------------------
      1 |    2 |            PROXY$@AD.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
      2 |    2 |            PROXY$@AD.EXAMPLE.COM (aes256-cts-hmac-sha1-96)
      3 |    2 |         host/PROXY@AD.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
      4 |    2 |         host/PROXY@AD.EXAMPLE.COM (aes256-cts-hmac-sha1-96)
      5 |    2 | host/proxy.ad.example.com@AD.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
      6 |    2 | host/proxy.ad.example.com@AD.EXAMPLE.COM (aes256-cts-hmac-sha1-96)
      7 |    2 | HTTP/proxy.ad.example.com@AD.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
      8 |    2 | HTTP/proxy.ad.example.com@AD.EXAMPLE.COM (aes256-cts-hmac-sha1-96)

      ktutil の対話型シェルで、さまざまなオプションを使用して、不要なプリンシパルをすべてキータブから削除できます。次に例を示します。

      ktutil:  delent 1

      ktutil:  l -e
      
      slot | KVNO | Principal
      -------------------------------------------------------------------------------
      1 |   2 | HTTP/proxy.ad.example.com@AD.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
      2 |   2 | HTTP/proxy.ad.example.com@AD.EXAMPLE.COM (aes256-cts-hmac-sha1-96)
      
      ktutil:  wkt /etc/squid/HTTP.keytab
      ktutil:  q

      警告

      SSSD または Samba/winbind がマシンアカウントのパスワードを更新すると、/etc/krb5.keytab 内のキーが更新される可能性があります。更新後、/etc/squid/HTTP.keytab 内のキーは機能しなくなるため、ktutil の手順を再度実行して新しいキーをキータブにコピーする必要があります。

5. キータブファイルの所有者を squid ユーザーに設定します。

   # chown squid /etc/squid/HTTP.keytab

6. オプション: キータブファイルに、プロキシーサーバーの完全修飾ドメイン名 (FQDN) の HTTP サービスプリンシパルが含まれていることを確認します。

   # klist -k /etc/squid/HTTP.keytab
   Keytab name: FILE:/etc/squid/HTTP.keytab
   KVNO Principal
   ---- ---------------------------------------------------
   ...
      2 HTTP/proxy.ad.example.com@AD.EXAMPLE.COM
   ...

7. /etc/squid/squid.conf ファイルを編集します。

   1. negotiate_kerberos_auth ヘルパーユーティリティーを設定するには、/etc/squid/squid.conf 部に以下の設定エントリーを追加します。

      auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/HTTP.keytab -s HTTP/proxy.ad.example.com@AD.EXAMPLE.COM

      以下は、上記の例で negotiate_kerberos_auth ヘルパーユーティリティーに渡されるパラメーターを説明します。

      • -k file は、キータブファイルへのパスを設定します。squid ユーザーには、このファイルに対する読み取り権限があることに注意してください。

      • -s HTTP/host_name@kerberos_realm は、Squid が使用する Kerberos プリンシパルを設定します。

        必要に応じて、以下のパラメーターのいずれかまたは両方をヘルパーユーティリティーに渡すことによりロギングを有効にできます。

      • -i は、認証ユーザーなどの情報メッセージをログに記録します。

      • -d は、デバッグロギングを有効にします。

        Squid は、ヘルパーユーティリティーから、/var/log/squid/cache.log ファイルにデバッグ情報のログに記録します。

   2. 以下の ACL およびルールを追加して、Squid で、認証されたユーザーのみがプロキシーを使用できるように設定します。

      acl kerb-auth proxy_auth REQUIRED
      http_access allow kerb-auth

      重要

      http_access deny all ルールの前にこの設定を指定します。

   3. 次のルールを削除して、localnet ACL で指定された IP 範囲のプロキシー認証の回避を無効にします。

      http_access allow localnet

   4. 以下の ACL はデフォルト設定にあり、HTTPS プロトコルを使用するポートとして 443 を定義します。

      acl SSL_ports port 443

      ユーザーが他のポートでも HTTPS プロトコルを使用できるようにするには、ポートごとに ACL を追加します。

      acl SSL_ports port port_number

   5. Squid が接続を確立できるポートに設定する acl Safe_ports ルールの一覧を更新します。たとえば、プロキシーを使用するクライアントがポート 21 (FTP)、80 (HTTP)、443 (HTTPS) のリソースにのみアクセスできるようにするには、その設定の以下の acl Safe_ports ステートメントのみを保持します。

      acl Safe_ports port 21
      acl Safe_ports port 80
      acl Safe_ports port 443

      デフォルトでは、設定には http_access deny !Safe_ports ルールが含まれ、Safe_ports ACL で定義されていないポートへのアクセス拒否を定義します。

   6. cache_dir パラメーターにキャッシュの種類、キャッシュディレクトリーへのパス、キャッシュサイズ、さらにキャッシュの種類ごとの設定を設定します。

      cache_dir ufs /var/spool/squid 10000 16 256

      この設定により、以下が可能になります。

      • Squid は、ufs キャッシュタイプを使用します。
      • Squid は、キャッシュを /var/spool/squid/ ディレクトリーに保存します。
      • キャッシュのサイズが 10000 MB まで大きくなります。
      • Squid は、16 個のレベル 1 サブディレクトリーを /var/spool/squid/ ディレクトリーに作成します。

      • Squid は、レベル 1 の各ディレクトリーに 256 個のサブディレクトリーを作成します。

        cache_dir ディレクティブを設定しないと、Squid はキャッシュをメモリーに保存します。

8. cache_dir パラメーターに /var/spool/squid/ 以外のキャッシュディレクトリーを設定する場合は、以下を行います。

   1. キャッシュディレクトリーを作成します。

      # mkdir -p path_to_cache_directory

   2. キャッシュディレクトリーの権限を設定します。

      # chown squid:squid path_to_cache_directory

   3. SELinux を enforcing モードで実行する場合は、squid_cache_t コンテキストをキャッシュディレクトリーに設定します。

      # semanage fcontext -a -t squid_cache_t "path_to_cache_directory(/.*)?"
      # restorecon -Rv path_to_cache_directory

      semanage ユーティリティーがシステムで利用できない場合は、policycoreutils-python-utils パッケージをインストールします。

9. ファイアウォールで 3128 ポートを開きます。

   # firewall-cmd --permanent --add-port=3128/tcp
   # firewall-cmd --reload

10. squid サービスを有効にして開始します。

    # systemctl enable --now squid

トラブルシューティングの手順

1. AD アカウントの Kerberos チケットを取得します。

   # kinit user@AD.EXAMPLE.COM

2. オプション: チケットを表示します。

   # klist

3. negotiate_kerberos_auth_test ユーティリティーを使用して認証をテストします。

   # /usr/lib64/squid/negotiate_kerberos_auth_test proxy.ad.example.com

   ヘルパーユーティリティーがトークンを返す場合は、認証に成功しました。

   Token: YIIFtAYGKwYBBQUCoIIFqDC...