Найти в Дзене
WindowsProfs
8 подписчиков

Прокси сервер

2
1 мин
https://www.altlinux.org/FreeIPA/%D0%9A%D0%BB%D0%B8%D0%B5%D0%BD%D1%82 https://wiki.it-kb.ru/squid/squid-auth-helper-basic_pam_auth-for-active-directory-domain-users-authentication-via-pam-service-with-sssd https://manpages.ubuntu.com/manpages/trusty/man8/basic_pam_auth.8.html https://fossies.org/linux/squid/src/acl/external/kerberos_ldap_group/ext_kerberos_ldap_group_acl.8 https://www.opennet.ru/base/net/squid_inst.txt.html https://www.altlinux.org/Alterator-sysconfig/proxy На SRV-BR apt-get install squid squid-helpers freeipa-client systemctl enable squid ipa-client-install --mkhomedir kinit admin ipa service-add HTTP/srv-br.company.prof ipa-getkeytab -s srv-hq.company.prof -p HTTP/srv-br.company.prof -k /etc/squid/krb5.keytab chmod ugo+r /etc/squid/krb5.keytab vim /etc/sysconfig/squid # KRB5_KTNAME=/etc/squid/krb5.keytab # В конфигурационном файле куча настроек, можно отредактировать под себя или оставить только это: vim /etc/squid/squid.conf shutdown_lifetime 3 seconds http_port 312

https://www.altlinux.org/FreeIPA/%D0%9A%D0%BB%D0%B8%D0%B5%D0%BD%D1%82

https://wiki.it-kb.ru/squid/squid-auth-helper-basic_pam_auth-for-active-directory-domain-users-authentication-via-pam-service-with-sssd

https://manpages.ubuntu.com/manpages/trusty/man8/basic_pam_auth.8.html

https://fossies.org/linux/squid/src/acl/external/kerberos_ldap_group/ext_kerberos_ldap_group_acl.8

https://www.opennet.ru/base/net/squid_inst.txt.html

https://www.altlinux.org/Alterator-sysconfig/proxy

На SRV-BR

apt-get install squid squid-helpers freeipa-client

systemctl enable squid

ipa-client-install --mkhomedir

kinit admin

ipa service-add HTTP/srv-br.company.prof

ipa-getkeytab -s srv-hq.company.prof -p HTTP/srv-br.company.prof -k /etc/squid/krb5.keytab

chmod ugo+r /etc/squid/krb5.keytab

vim /etc/sysconfig/squid

#

KRB5_KTNAME=/etc/squid/krb5.keytab

#

В конфигурационном файле куча настроек, можно отредактировать под себя или оставить только это:

vim /etc/squid/squid.conf

shutdown_lifetime 3 seconds

http_port 3128

auth_param basic program /usr/lib/squid/basic_pam_auth -r -o

auth_param basic realm Auth in COMPANY.PROF

external_acl_type ext_group1 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -D COMPANY.PROF -s srv-hq.company.prof -g group1

external_acl_type ext_group2 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -D COMPANY.PROF -s srv-hq.company.prof -g group2

external_acl_type ext_group3 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -D COMPANY.PROF -s srv-hq.company.prof -g group3

acl group1 external ext_group1

acl group2 external ext_group2

acl group3 external ext_group3

acl company dstdomain .company.prof

acl blacklist dstdomain vk.com mail.yandex.ru worldskills.org

acl clihq src 10.0.10.X

http_access allow clihq !blacklist

http_access allow group1 !company

http_access allow group2 company

http_access deny all

Проверить конфигурацию перед перезапуском

squid -k parse

systemctl restart squid

Если что-то пошло не так, логи можно посмотреть тут

tail -f /var/log/squid/*

На CLI-*:

/etc/sysconfig/network

#

HTTP_PROXY=”http://srv-br.company.prof:3128”

HTTPS_PROXY=”http://srv-br.company.prof:3128”

reboot