Пройдите в раздел Система -> Настройки -> Общие настройки
Проверьте, чтоб следующие системные настройки были выполнены корректно:
В случае, если вы не используете встроенный сервер DNS, такой как Unbound DNS, вам необходимо:
В случае, если вы используете встроенный сервер DNS, такой как Unbound DNS, вам необходимо согласно документации настроить переадресацию либо всех запросов DNS, либо только прямой и обратной зоны созданного вами домена.
Перейдите в раздел Службы -> Сетевое время -> Общие.
В поле Серверы времени укажите имя контроллера домена dc.ztest.int либо IP адрес контроллера домена 192.168.1.3.
Примечание Время на контроллере домена и устройстве NPS AV должно быть синхронизировано.
Примечание
Время на контроллере домена и устройстве NPS AV должно быть синхронизировано.
Пройдите в раздел Система -> Доступ -> Серверы, в правом верхнем углу нажмите на кнопку Добавить сервер и задайте следующие настройки:
1
имя и пароль учетной записи, созданной при настройке домена для создания LDAP коннектора.
2
выберите контейнеры, в которых находятся учетные записи пользователей.
Пройдите в раздел Система -> Доступ -> Средство проверки
Выберите в списке созданный нами сервер, введите имя и пароль учетной записи домена.
Результатом должно быть сообщение об успешной проверке:
Пользователь: NPSAV user аутентификация прошла успешно
Этот пользователь состоит в этих группах:
Атрибуты, полученные от сервера:
dn => CN=NPSAVuser,OU=NPSAV,DC=ztest,DC=int
Примечание Использование механизма прозрачного HTTP-проксирования не совместимо ни с одним методом аутентификации. Чтобы использовать аутентификацию Kerberos, данный механизм должен быть выключен.
Использование механизма прозрачного HTTP-проксирования не совместимо ни с одним методом аутентификации. Чтобы использовать аутентификацию Kerberos, данный механизм должен быть выключен.
Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-proxy-sso для его установки.
После установки плагина os-proxy-sso, в разделе Службы -> Веб-прокси появляется подраздел Технология единого входа (SSO).
Примечание Настройка аутентификации по протоколу Kerberos может быть осуществлена как вручную, так и автоматически. Предпочтительным является автоматический способ настройки, рассмотренный в п.7. Ручной способ настройки аутентификации по протоколу Kerberos рассматривается в п.8.
Настройка аутентификации по протоколу Kerberos может быть осуществлена как вручную, так и автоматически.
Предпочтительным является автоматический способ настройки, рассмотренный в п.7.
Ручной способ настройки аутентификации по протоколу Kerberos рассматривается в п.8.
7.1 Включите Single Sign On
В разделе Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладке Общие настройки, установите флаг Включить Single Sign On.
В поле Реализация AD Kerberos выберите значение Windows 2008 with AES.
Примечание При нажатии на кнопку Применить будут произведены следующие действия:
При нажатии на кнопку Применить будут произведены следующие действия:
происходит автогенерация конфигурационного файла conf для библиотеки Kerberos
модифицируется конфигурационный файл Squid /usr/local/sbin/squid.conf для загрузки хелпера Kerberos-аутентификации negotiate_kerberos_auth
производится перезапуск веб-прокси сервера Squid
7.2 Настройте аутентификацию по протоколу Kerberos
Все пункты, кроме Файл keytab должны быть отмечены зеленым.
Если это не так — перепроверьте все шаги.
В поле Имя администратора AD, укажите имя учетной записи администратора домена.
В поле Пароль администратора AD, укажите пароль для учетной записи администратора домена.
Нажмите на кнопку Создать keytab-файл.
Примечание В поле Результат выводится информация об осуществляемых действиях:
В поле Результат выводится информация об осуществляемых действиях:
создается учетная запись компьютера с именем, указанным на закладке Общие
прописываются необходимые SPN-имена
генерируется keytab-файл /usr/local/etc/squid/squid.keytabна устройстве NPS AV c SPN-именами / ключами для керберизированной службы
Предупреждение Для пользователей DC Windows 2003: Перед созданием keytab файла на контроллере домена не должно быть учетной записи компьютера для устройства NPS AV!!! Иначе при создании keytab будет ошибка. Если по какой-то причине необходимо пересоздать keytab, то перед его созданием учетную запись компьютера для NPS AV нужно удалить.
Предупреждение
Для пользователей DC Windows 2003:
Перед созданием keytab файла на контроллере домена не должно быть учетной записи компьютера для устройства NPS AV!!! Иначе при создании keytab будет ошибка.
Если по какой-то причине необходимо пересоздать keytab, то перед его созданием учетную запись компьютера для NPS AV нужно удалить.
Все пункты должны быть отмечены зеленым.
Результат должен быть такой: /usr/local/etc/squid/squid.keytab: Vno Type Principal Aliases 1 arcfour-hmac-md5 NPSAV$@ZTEST.INT 1 aes128-cts-hmac-sha1-96 NPSAV$@ZTEST.INT 1 aes256-cts-hmac-sha1-96 NPSAV$@ZTEST.INT 1 arcfour-hmac-md5 HTTP/npsav.ztest.int@ZTEST.INT 1 aes128-cts-hmac-sha1-96 HTTP/npsav.ztest.int@ZTEST.INT 1 aes256-cts-hmac-sha1-96 HTTP/npsav.ztest.int@ZTEST.INT 1 arcfour-hmac-md5 host/npsav@ZTEST.INT 1 aes128-cts-hmac-sha1-96 host/npsav@ZTEST.INT 1 aes256-cts-hmac-sha1-96 host/npsav@ZTEST.INT 1 arcfour-hmac-md5 host/npsav.ztest.int@ZTEST.INT 1 aes128-cts-hmac-sha1-96 host/npsav.ztest.int@ZTEST.INT 1 aes256-cts-hmac-sha1-96 host/npsav.ztest.int@ZTEST.INT Vno Type Principal Aliases
Результат должен быть такой:
/usr/local/etc/squid/squid.keytab: Vno Type Principal Aliases 1 arcfour-hmac-md5 NPSAV$@ZTEST.INT 1 aes128-cts-hmac-sha1-96 NPSAV$@ZTEST.INT 1 aes256-cts-hmac-sha1-96 NPSAV$@ZTEST.INT 1 arcfour-hmac-md5 HTTP/npsav.ztest.int@ZTEST.INT 1 aes128-cts-hmac-sha1-96 HTTP/npsav.ztest.int@ZTEST.INT 1 aes256-cts-hmac-sha1-96 HTTP/npsav.ztest.int@ZTEST.INT 1 arcfour-hmac-md5 host/npsav@ZTEST.INT 1 aes128-cts-hmac-sha1-96 host/npsav@ZTEST.INT 1 aes256-cts-hmac-sha1-96 host/npsav@ZTEST.INT 1 arcfour-hmac-md5 host/npsav.ztest.int@ZTEST.INT 1 aes128-cts-hmac-sha1-96 host/npsav.ztest.int@ZTEST.INT 1 aes256-cts-hmac-sha1-96 host/npsav.ztest.int@ZTEST.INT Vno Type Principal Aliases
7.3 Проверьте правильность настроек.
Для этого введите Имя пользователя и Пароль пользователя домена в соответствующие поля и нажмите Проверить вход через Kerberos
В случае, если все настройки были сделаны верно, вы увидите положительный результат проверки, подобный, как на изображении выше.
7.4 Примените настройки.
Для этого либо в разделе Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладке Общие настройки, либо в разделе Службы->Веб-прокси->Администрирование нажмите кнопку Применить
Иногда возникает ситуация, когда по определенным причинам у вас нет доступа к учетной записи администратора домена (к примеру, политики безопасности предприятия).
В таком случае вам необходимо на контроллере домена создать keytab файл, перенести его на устройство NPS AV и выполнить конфигурацию устройства.
Для ручной настройки аутентификации в Active Directory через Kerberos вам необходимо выполнить все шаги по настройке устройства NPS AV, описанные выше, вплоть до создания учетной записи компьютера в каталоге Active Directory
После чего выполнить следующие шаги:
8.1. Пройдите в раздел Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладку Аутентификация по протоколу Kerberos, нажмите кнопку Обновить — и убедитесь, что все пункты, за исключением Файл keytab отмечены зеленым. Если это не так, то необходимо проверить настройки.
8.2. Создайте в домене учетную запись компьютера с именем, совпадающим в поле Kerberos-аккаунт этой машины в AD на вкладке Службы -> Веб-прокси -> Технология единого входа (SSO) -> Общие настройки
Примечание Использование учетной записи компьютера предпочтительнее, так-как на учетную запись пользователя групповой политикой может накладываться ограничение на время действия пароля.
Использование учетной записи компьютера предпочтительнее, так-как на учетную запись пользователя групповой политикой может накладываться ограничение на время действия пароля.
8.3. На контроллере домена добавьте SPN HTTP к учетной записи созданного компьютера (в нашем случае NPS AV) и одновременно экспортируйте keytab-файл.
ktpass.exe /princ HTTP/npsav.ztest.int@ZTEST.INT /mapuser ZTEST\npsav$ /crypto all /ptype KRB5_NT_SRV_HST /pass rndpass /out c:/tmp/squid.keytab +answer
Предупреждение Будьте внимательны, регистр имеет значение.
Будьте внимательны, регистр имеет значение.
В данной команде мы добавили
SPN /princ HTTP/NPSAV.ztest.int@ZTEST.INT
К учетной записи компьютера /mapuser ZTEST\NPSAV$
С поддержкой всех возможных типов шифрования /crypto all
Со случайным паролем /pass rndpass
И сделали экспорт keytab файла /out c:/tmp/squid.keytab
8.4. Проверьте наличие SPN-имен в аккаунте. Для этого на контроллере домена AD выполните команду:
setspn —l NPS AV
Вы должны увидеть следующий вывод:
Registered ServicePrincipalNames for CN=NPSAV,CN=Computers,DC=ztest,DC=int: HTTP/npsav.ztest.int
8.5. Скопируйте с помощью SSH-клиента (например, Putty) файл c:/tmp/squid.keytab на устройство NPS AV в папку /usr/local/etc/squid/
8.6. Измените владельца keytab файла:
chown root:squid /usr/local/etc/squid/squid.keytab
8.7. Измените права доступа к keytab файлу:
chmod 640 /usr/local/etc/squid/squid.keytab
Примечание Данные операции должны выполняться пользователем, с достаточными правами.
Данные операции должны выполняться пользователем, с достаточными правами.
8.8. Пройдите в раздел Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладку Аутентификация по протоколу Kerberos, нажмите кнопку Обновить — и убедитесь, что все пункты отмечены зеленым. 8.9. Пройдите в раздел Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладку Общие, нажмите кнопку Применить для применения настроек и перезапуска веб-прокси SQUID.
Работает на BetterDocs
Ваш адрес email не будет опубликован. Обязательные поля помечены *
Комментарий
Имя *
Email *
Сайт
Сохранить моё имя, email и адрес сайта в этом браузере для последующих моих комментариев.