====== Аутентификация доступа к SQUID ======

===== Kerberos GSSAPI аутентификация =====

  * [[http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos|Configuring a Squid Server to authenticate from Kerberos]]
  * [[http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory|Configuring a Squid Server to authenticate off Active Directory]]
  * [[http://klaubert.wordpress.com/2008/01/09/squid-kerberos-authentication-and-ldap-authorization-in-active-directory/|Squid kerberos authentication and ldap authorization in Active Directory]]

==== Создаем ключи сервиса и копируем иx на сервер ====

=== Если в роли KDC выступает Active Directory ===

== Добавляем пользователя в AD ==
<code>
Login: gatehttp
Password: Pa$$w0rd
Пароль не меняется и не устаревает

ИЛИ

New-ADUser -Name "gatehttp" -SamAccountName "gatehttp" -AccountPassword(ConvertTo-SecureString -AsPlainText 'Pa$$w0rd' -Force) -Enabled $true -ChangePasswordAtLogon $false -CannotChangePassword $true -UserPrincipalName gatehttp@corpX.un -DisplayName  gatehttp -PasswordNeverExpires $true
Обязательно и DisplayName и UserPrincipalName указать
</code>


== Создаем ключ сервиса http связывая его с фиктивным пользователем AD ==

Название сервиса HTTP обязательно заглавными буквами
<code>
C:\>setspn -L gatehttp

C:\>ktpass -princ HTTP/gate.corpX.un@CORPX.UN -mapuser gatehttp -pass 'Pa$$w0rd' -out gatehttp.keytab

C:\>setspn -L gatehttp

C:\>setspn -Q HTTP/gate.corpX.un
</code>

== Копируем ключ сервиса http сервер squid ==

  * [[Сервис SSH#WinSCP]]

<code>
C:\>pscp gatehttp.keytab root@gate:
</code>

=== Если в роли KDC выступает HEIMDAL (FreeBSD) ===
<code>
[server:~] # kadmin -l
kadmin> add -r HTTP/gate.corpX.un
kadmin> add -r HTTP/gate.CORPX.UN

kadmin> ext -k gatehttp.keytab HTTP/gate.corpX.un
kadmin> ext -k gatehttp.keytab HTTP/gate.CORPX.UN

kadmin> exit
</code>

=== Если в роли KDC выступает MIT (Debian/Ubuntu) ===
<code>
root@server:~# kadmin.local
kadmin.local:  addprinc -randkey HTTP/gate.corpX.un
kadmin.local:  addprinc -e rc4-hmac:normal -randkey HTTP/gate.CORPX.UN

kadmin.local:  ktadd -k gatehttp.keytab HTTP/gate.corpX.un
kadmin.local:  ktadd -k gatehttp.keytab HTTP/gate.CORPX.UN

kadmin.local:  exit
</code>

=== Если в роли KDC выступает Samba4 ===

  * [[https://wiki.samba.org/index.php/Generating_Keytabs|wiki.samba.org Generating Keytabs]]
  * [[http://www.delayer.org/2015/06/squid-samba4-ad-kerberos-auth.html|Squid + Samba4 AD Kerberos Authentication]]

<code>
server# samba-tool user create gatehttp 'Pa$$w0rd'

server# samba-tool user setexpiry gatehttp --noexpiry

server# samba-tool spn add HTTP/gate.corpX.un gatehttp

server# samba-tool spn list gatehttp

server# samba-tool domain exportkeytab gatehttp.keytab --principal=HTTP/gate.corpX.un
</code>

=== Копируем ключи на сервер ===
<code>
server# scp gatehttp.keytab gate:
</code>

==== Копируем ключи в системный keytab ====

=== Debian/Ubuntu ===
<code>
root@gate:~# ktutil
ktutil: rkt /root/gatehttp.keytab
ktutil: list
ktutil: wkt /etc/krb5.keytab
ktutil: quit

root@gate:~# klist -ek /etc/krb5.keytab
</code>

=== Debian/Ubuntu/FreeBSD ===
<code>
gate# chmod +r /etc/krb5.keytab
</code>

=== FreeBSD ===
<code>
gate# ktutil copy /root/gatehttp.keytab /etc/krb5.keytab
gate# touch /etc/srvtab

gate# ktutil list
</code>
==== Настройка сервиса SQUID на использование GSSAPI ====

<code>
gate# cat /etc/squid/conf.d/my.conf
</code><code>
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d

acl inetuser proxy_auth REQUIRED

http_access allow inetuser
</code>


===== Winbind аутентификация =====

Аутентификация в режиме DOMAIN ([[Сервис WINBIND]])

==== FreeBSD ====
<code>
[gate:~] # chown root:squid /var/db/samba/winbindd_privileged/

или

[gate:~] # chown root:squid /var/db/samba34/winbindd_privileged/

или

[gate:~] # pw usermod squid -G wheel
</code>

==== Ubuntu ====
<code>
root@gate:~# usermod -G winbindd_priv proxy 
</code>

==== FreeBSD/Ubuntu ====
<code>
gate# cat squid.conf
...
# OPTIONS FOR AUTHENTICATION
...
# for linux uncomment
# auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

# for freebsd uncomment
# auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
...
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
...
acl inetuser proxy_auth REQUIRED
http_access allow inetuser
# http_access allow localnet
</code>

===== NCSA basic аутентификация =====

  * Декодирование логинов/паролей [[http://base64.ru/]]

<code>
# cat /etc/squid/squid.conf
</code><code>
...
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
...
</code><code>
# mkdir /usr/etc/

# apt install apache2-utils

# touch /etc/squid/passwd

# htpasswd /etc/squid/passwd user1
</code>

===== PAM basic аутентификация =====

==== pam_unix (по умолчанию) ====
<code>
# chmod u+s /usr/lib/squid/basic_pam_auth

# cat /etc/squid/squid.conf
</code><code>
...
auth_param basic program /usr/lib/squid/basic_pam_auth
...
</code>

Возможно, не обязательно

<code>
# cat /etc/pam.d/squid
</code><code>
auth       sufficient   pam_unix.so
</code>
==== pam_radius ====
<code>
# cat /etc/pam.d/squid
</code><code>
auth       sufficient   pam_radius_auth.so
</code>

===== RADIUS basic аутентификация =====

<code>
# vim /etc/squid3/squid.conf
</code><code>
...
auth_param basic program /usr/lib/squid3/squid_radius_auth -h server.corpX.un -w testing123
...
</code>

===== Использование протокола SSL для basic аутентификации =====

  * [[Сервис stunnel]]
  * [[Chrome]]

<code>
# vim /etc/squid3/squid.conf
</code><code>
...
#http_access allow localnet
#http_access allow localhost
acl inetuser proxy_auth REQUIRED
http_access allow inetuser
...
http_port 127.0.0.1:3128
...
</code>