https://www.altlinux.org/FreeIPA/%D0%9A%D0%BB%D0%B8%D0%B5%D0%BD%D1%82
https://manpages.ubuntu.com/manpages/trusty/man8/basic_pam_auth.8.html
https://fossies.org/linux/squid/src/acl/external/kerberos_ldap_group/ext_kerberos_ldap_group_acl.8
https://www.opennet.ru/base/net/squid_inst.txt.html
https://www.altlinux.org/Alterator-sysconfig/proxy
На SRV-BR
apt-get install squid squid-helpers freeipa-client
systemctl enable squid
ipa-client-install --mkhomedir
kinit admin
ipa service-add HTTP/srv-br.company.prof
ipa-getkeytab -s srv-hq.company.prof -p HTTP/srv-br.company.prof -k /etc/squid/krb5.keytab
chmod ugo+r /etc/squid/krb5.keytab
vim /etc/sysconfig/squid
#
KRB5_KTNAME=/etc/squid/krb5.keytab
#
В конфигурационном файле куча настроек, можно отредактировать под себя или оставить только это:
vim /etc/squid/squid.conf
shutdown_lifetime 3 seconds
http_port 3128
auth_param basic program /usr/lib/squid/basic_pam_auth -r -o
auth_param basic realm Auth in COMPANY.PROF
external_acl_type ext_group1 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -D COMPANY.PROF -s srv-hq.company.prof -g group1
external_acl_type ext_group2 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -D COMPANY.PROF -s srv-hq.company.prof -g group2
external_acl_type ext_group3 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -D COMPANY.PROF -s srv-hq.company.prof -g group3
acl group1 external ext_group1
acl group2 external ext_group2
acl group3 external ext_group3
acl company dstdomain .company.prof
acl blacklist dstdomain vk.com mail.yandex.ru worldskills.org
acl clihq src 10.0.10.X
http_access allow clihq !blacklist
http_access allow group1 !company
http_access allow group2 company
http_access deny all
Проверить конфигурацию перед перезапуском
squid -k parse
systemctl restart squid
Если что-то пошло не так, логи можно посмотреть тут
tail -f /var/log/squid/*
На CLI-*:
/etc/sysconfig/network
#
HTTP_PROXY=”http://srv-br.company.prof:3128”
HTTPS_PROXY=”http://srv-br.company.prof:3128”
reboot
