3.3. kerberos 認証を使用したキャッシングプロキシーとしての Squid の設定

Squid を、Kerberos を使用して Active Directory (AD) に対してユーザーを認証するキャッシングプロキシーとして設定できます。この手順では、認証されたユーザーのみがプロキシーを使用できるように設定します。

前提条件

/etc/squid/squid.conf ファイルが、squid パッケージにより提供されている。このファイルを編集した場合は、ファイルを削除して、パッケージを再インストールしている。
Squid をインストールするサーバーが、AD ドメインのメンバーである。

手順

以下のパッケージをインストールします。
```
dnf install squid krb5-workstation
```
```
# dnf install squid krb5-workstation
```
Copy to Clipboard
AD ドメイン管理者として認証します。
```
kinit administrator@AD.EXAMPLE.COM
```
```
# kinit administrator@AD.EXAMPLE.COM
```
Copy to Clipboard

Squid 用のキータブを作成し、それを /etc/squid/HTTP.keytab ファイルに保存し、HTTP サービスプリンシパルをキータブに追加します。

export KRB5_KTNAME=FILE:/etc/squid/HTTP.keytab
net ads keytab CREATE -U administrator
net ads keytab ADD HTTP -U administrator

# export KRB5_KTNAME=FILE:/etc/squid/HTTP.keytab
# net ads keytab CREATE -U administrator
# net ads keytab ADD HTTP -U administrator

Copy to Clipboard

オプション: システムが (adcli 経由で) 最初にレルムを使用して AD ドメインに参加している場合、次の手順に従って HTTP プリンシパルを追加し、squid 用のキータブファイルを作成します。

HTTP サービスプリンシパルをデフォルトのキータブファイル /etc/krb5.keytab に追加し、検証します。

adcli update -vvv --domain=ad.example.com --computer-name=PROXY --add-service-principal="HTTP/proxy.ad.example.com" -C
klist -kte /etc/krb5.keytab | grep -i HTTP

# adcli update -vvv --domain=ad.example.com --computer-name=PROXY --add-service-principal="HTTP/proxy.ad.example.com" -C
# klist -kte /etc/krb5.keytab | grep -i HTTP

Copy to Clipboard

/etc/krb5.keytab ファイルをロードし、HTTP 以外のすべてのサービスプリンシパルを削除し、残りのプリンシパルを /etc/squid/HTTP.keytab ファイルに保存します。

ktutil

# ktutil
ktutil:  rkt /etc/krb5.keytab
ktutil:  l -e
slot | KVNO | Principal
-----------------------------------------------------------------------------
1 |    2 |            PROXY$@AD.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
2 |    2 |            PROXY$@AD.EXAMPLE.COM (aes256-cts-hmac-sha1-96)
3 |    2 |         host/PROXY@AD.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
4 |    2 |         host/PROXY@AD.EXAMPLE.COM (aes256-cts-hmac-sha1-96)
5 |    2 | host/proxy.ad.example.com@AD.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
6 |    2 | host/proxy.ad.example.com@AD.EXAMPLE.COM (aes256-cts-hmac-sha1-96)
7 |    2 | HTTP/proxy.ad.example.com@AD.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
8 |    2 | HTTP/proxy.ad.example.com@AD.EXAMPLE.COM (aes256-cts-hmac-sha1-96)

Copy to Clipboard

ktutil の対話型シェルで、さまざまなオプションを使用して、不要なプリンシパルをすべてキータブから削除できます。次に例を示します。

ktutil:  delent 1

ktutil:  delent 1

Copy to Clipboard

ktutil:  l -e

slot | KVNO | Principal
-------------------------------------------------------------------------------
1 |   2 | HTTP/proxy.ad.example.com@AD.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
2 |   2 | HTTP/proxy.ad.example.com@AD.EXAMPLE.COM (aes256-cts-hmac-sha1-96)

ktutil:  wkt /etc/squid/HTTP.keytab
ktutil:  q

ktutil:  l -e

slot | KVNO | Principal
-------------------------------------------------------------------------------
1 |   2 | HTTP/proxy.ad.example.com@AD.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
2 |   2 | HTTP/proxy.ad.example.com@AD.EXAMPLE.COM (aes256-cts-hmac-sha1-96)

ktutil:  wkt /etc/squid/HTTP.keytab
ktutil:  q

Copy to Clipboard

警告

SSSD または Samba/winbind がマシンアカウントのパスワードを更新すると、/etc/krb5.keytab 内のキーが更新される可能性があります。更新後、/etc/squid/HTTP.keytab 内のキーは機能しなくなるため、ktutil の手順を再度実行して新しいキーをキータブにコピーする必要があります。

キータブファイルの所有者を squid ユーザーに設定します。
```
chown squid /etc/squid/HTTP.keytab
```
```
# chown squid /etc/squid/HTTP.keytab
```
Copy to Clipboard

オプション: キータブファイルに、プロキシーサーバーの完全修飾ドメイン名 (FQDN) の HTTP サービスプリンシパルが含まれていることを確認します。

klist -k /etc/squid/HTTP.keytab

# klist -k /etc/squid/HTTP.keytab
Keytab name: FILE:/etc/squid/HTTP.keytab
KVNO Principal
---- ---------------------------------------------------
...
   2 HTTP/proxy.ad.example.com@AD.EXAMPLE.COM
...

Copy to Clipboard

/etc/squid/squid.conf ファイルを編集します。
1. negotiate_kerberos_auth ヘルパーユーティリティーを設定するには、/etc/squid/squid.conf 部に以下の設定エントリーを追加します。
  auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/HTTP.keytab -s HTTP/proxy.ad.example.com@AD.EXAMPLE.COM
  Copy to Clipboard
  以下は、上記の例で negotiate_kerberos_auth ヘルパーユーティリティーに渡されるパラメーターを説明します。
  - -k file は、キータブファイルへのパスを設定します。squid ユーザーには、このファイルに対する読み取り権限があることに注意してください。
  - -s HTTP/host_name@kerberos_realm は、Squid が使用する Kerberos プリンシパルを設定します。
    必要に応じて、以下のパラメーターのいずれかまたは両方をヘルパーユーティリティーに渡すことによりロギングを有効にできます。
  - -i は、認証ユーザーなどの情報メッセージをログに記録します。
  - -d は、デバッグロギングを有効にします。
    Squid は、ヘルパーユーティリティーから、/var/log/squid/cache.log ファイルにデバッグ情報のログに記録します。
2. 以下の ACL およびルールを追加して、Squid で、認証されたユーザーのみがプロキシーを使用できるように設定します。
  acl kerb-auth proxy_auth REQUIRED http_access allow kerb-auth
  Copy to Clipboard
  重要
  http_access deny all ルールの前にこの設定を指定します。
3. 次のルールを削除して、localnet ACL で指定された IP 範囲のプロキシー認証の回避を無効にします。
  http_access allow localnet
  Copy to Clipboard
4. 以下の ACL はデフォルト設定にあり、HTTPS プロトコルを使用するポートとして 443 を定義します。
  acl SSL_ports port 443
  Copy to Clipboard
  ユーザーが他のポートでも HTTPS プロトコルを使用できるようにするには、ポートごとに ACL を追加します。
  acl SSL_ports port port_number
  Copy to Clipboard
5. Squid が接続を確立できるポートに設定する acl Safe_ports ルールの一覧を更新します。たとえば、プロキシーを使用するクライアントがポート 21 (FTP)、80 (HTTP)、443 (HTTPS) のリソースにのみアクセスできるようにするには、その設定の以下の acl Safe_ports ステートメントのみを保持します。
  acl Safe_ports port 21 acl Safe_ports port 80 acl Safe_ports port 443
  Copy to Clipboard
  デフォルトでは、設定には http_access deny !Safe_ports ルールが含まれ、Safe_ports ACL で定義されていないポートへのアクセス拒否を定義します。
6. cache_dir パラメーターにキャッシュの種類、キャッシュディレクトリーへのパス、キャッシュサイズ、さらにキャッシュの種類ごとの設定を設定します。
  cache_dir ufs /var/spool/squid 10000 16 256
  Copy to Clipboard
  この設定により、以下が可能になります。
  - Squid は、ufs キャッシュタイプを使用します。
  - Squid は、キャッシュを /var/spool/squid/ ディレクトリーに保存します。
  - キャッシュのサイズが 10000 MB まで大きくなります。
  - Squid は、16 個のレベル 1 サブディレクトリーを /var/spool/squid/ ディレクトリーに作成します。
  - Squid は、レベル 1 の各ディレクトリーに 256 個のサブディレクトリーを作成します。
    cache_dir ディレクティブを設定しないと、Squid はキャッシュをメモリーに保存します。
cache_dir パラメーターに /var/spool/squid/ 以外のキャッシュディレクトリーを設定する場合は、以下を行います。
1. キャッシュディレクトリーを作成します。
  # mkdir -p path_to_cache_directory
  Copy to Clipboard
2. キャッシュディレクトリーの権限を設定します。
  # chown squid:squid path_to_cache_directory
  Copy to Clipboard
3. SELinux を enforcing モードで実行する場合は、squid_cache_t コンテキストをキャッシュディレクトリーに設定します。
  # semanage fcontext -a -t squid_cache_t "path_to_cache_directory(/.*)?" # restorecon -Rv path_to_cache_directory
  Copy to Clipboard
  semanage ユーティリティーがシステムで利用できない場合は、policycoreutils-python-utils パッケージをインストールします。

ファイアウォールで 3128 ポートを開きます。

firewall-cmd --permanent --add-port=3128/tcp
firewall-cmd --reload

# firewall-cmd --permanent --add-port=3128/tcp
# firewall-cmd --reload

Copy to Clipboard

squid サービスを有効にして開始します。
```
systemctl enable --now squid
```
```
# systemctl enable --now squid
```
Copy to Clipboard

検証

プロキシーが正しく機能することを確認するには、curl ユーティリティーを使用して Web ページをダウンロードします。
```
curl -O -L "https://www.redhat.com/index.html" --proxy-negotiate -u : -x "proxy.ad.example.com:3128"
```
```
# curl -O -L "https://www.redhat.com/index.html" --proxy-negotiate -u : -x "proxy.ad.example.com:3128"
```
Copy to Clipboard
curl がエラーを表示せず、index.html ファイルが現在のディレクトリーに存在すると、プロキシーが機能します。

トラブルシューティングの手順

AD アカウントの Kerberos チケットを取得します。
```
kinit user@AD.EXAMPLE.COM
```
```
# kinit user@AD.EXAMPLE.COM
```
Copy to Clipboard
オプション: チケットを表示します。
```
klist
```
```
# klist
```
Copy to Clipboard
negotiate_kerberos_auth_test ユーティリティーを使用して認証をテストします。
```
/usr/lib64/squid/negotiate_kerberos_auth_test proxy.ad.example.com
```
```
# /usr/lib64/squid/negotiate_kerberos_auth_test proxy.ad.example.com
```
Copy to Clipboard
ヘルパーユーティリティーがトークンを返す場合は、認証に成功しました。
```
Token: YIIFtAYGKwYBBQUCoIIFqDC...
```
```
Token: YIIFtAYGKwYBBQUCoIIFqDC...
```
Copy to Clipboard

3.3. kerberos 認証を使用したキャッシングプロキシーとしての Squid の設定

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links