Situations-Beschreibung

    Viele Unternehmen verwenden das ActiveDirectory von Microsoft um die Benutzer und Computer-Objekte ihrer Umgebung zu verwalten. Häufig kommt daher auch der Wunsch auf, den Internet-Zugang anhand der AD-Benutzer zu steuern. Häufig über AD-Gruppen-Mitgliedschaften, da dies die Verwaltung wesentlich vereinfachen kann. Hierbei sollte es aber nicht nur einfach um die AD-Anbindung gehen, sondern nach Möglichkeit auch mit der entsprechenden Sicherheit bei der Authentifizierung. Nachfolgend ist daher Beispielhaft die Konfiguration eines Debian 7 Systems beschrieben, auf dem Squid3 mit der Anbindung an eine Windows 2008 R2 installiert wurde. Der einfachheitshalber wird der Proxy auch so vorbereitet, dass er eine Proxy.pac über Port 8083 ausliefern kann. Die notwendige Sicherheit bei der Authentifizierung der Benutzer wird erreicht, indem der Proxy die Benutzer mittels Kerberos, NTLM oder der Basic-Authentifizierung authentifizieren kann und das genau in der Reihenfolge.

    Um die Beispielkonfiguration zu vereinfachen, wird zuerst die Beispiel-Umgebung beschrieben. Später wird dann pro Abschnitt auf die jeweilige Konfigurationsdatei verlinkt. Am Ende des Artikels gibt es dann ein Zip-Archiv, mit allen im Artikel verwendeten Konfigurations-Dateien.

    Umgebungsübersicht

    Eigenschaft Wert Beschreibung
    NetBios Domain-Name DOMAIN  
    FQDN DOMAIN.TLD  
    Proxy-Name squidproxy  
    Domain-Controller 1 192.168.0.1  
    Domain-Controller 2 192.168.0.2  
    Parent-Proxy IP 192.168.1.1  
    AD-Gruppe(n) mit Internet-Zugang AD-Group_with_Internet_Access Mitglieder dieser AD-Gruppe dürfen ins Internet
    Speicherort der AD-Gruppen OU=Groups,OU=Common Objects,ou=DEU,dc=DOMAIN,dc=TLD Wenn mehrere AD-Gruppen für unterschiedliche Regeln angelegt werden,
    müssen diese alle hier liegen, da nur dort gesucht wird
    AD-Proxy-Benutzer AD-Proxy-User Service-Konto für die Kerberos-Authentifizierung
    AD-Suchpfad ou=DEU,dc=DOMAIN,dc=TLD Einschränkung des Suchpfades für die Benutzer-Objekte.
    Macht in größeren Umgebungen Sinn.

     

    #1. Zeitsynchronisierung sicherstellen

    Für eine funktionieren Kerberos-Authentifizierung darf sich die Zeit zwischen dem Client und dem Server maximal um 5 Minuten unterscheiden. Um die gewährleisten zu können, sollte sich das Linux-System immer mit den DCs der Domäne abgleichen. Hierzu wird ntp installiert.

    $ apt-get install ntp ntpdate

    Anschließend müssen in der Datei /etc/ntp.conf die nachfolgenden Zeilen

    server 0.debian.pool.ntp.org iburst
    server 1.debian.pool.ntp.org iburst
    server 2.debian.pool.ntp.org iburst
    server 3.debian.pool.ntp.org iburst

    auskommentiert werden und durch eine Zeile für die Domäne ersetzte werden:

    server domain.tld iburst

    Anschließend den Dienst neustarten und die Uhrzeit einmal manuell synchronisieren:

    $ /etc/init.d/ntp restart
    $ ntpd -q -g

    Der Neustart des Dienstes geht auch mittels

    $ service restart ntp

    … jedoch kann ich mich nur langsam in diese Schreibweise gewöhnen

     

    #2. Installation und Einrichtung von Samba sowie winbind

    $ apt-get install winbind samba

    Für die Konfiguration muss die /etc/samba/smb.conf wie folgt angepasst werden:

    [global]
    netbios name = squidproxy
    workgroup = DOMAIN
    realm = DOMAIN.TLD
    server string =
    security = ADS
    encrypt passwords = true
    log level = 3
    log file = /var/log/samba/%m
    preferred master = no
    template shell = /bin/false
    template homedir = /home/%D/%U
    winbind uid = 10000-20000
    winbind gid = 10000-20000
    enhanced browsing = no
    winbind use default domain = yes
    winbind enum users = no
    winbind enum groups = no
    idmap cache time = 604800
    idmap negative cache time = 20
    winbind cache time = 600
    
    password server = 192.168.0.1, 192.168.0.2
    load printers = no
    printing = bsd
    printcap name = /dev/null
    disable spoolss = yes
    
    kerberos method = system keytab
    dedicated keytab file = /etc/krb5.keytab

     

    #3. Installation und Einrichtung von Apache2

    $ apt-get install apache2 libapache2-mod-perl2

    Damit Apache2 über Port 8083 eine proxy.pac (Funktionen,Microsoft-Artikel) ausliefern kann, muss dieser Port in der Datei /etc/apache2/ports.conf freigeschaltet werden, indem der folgende Eintrag hinzugefügt wird:

    Listen 8083

    Des weiteren muss für die proxy.pac noch eine Site erstellt und aktiviert werden. Dazu wird die Datei /etc/apache2/sites-available/proxypac.conf mit folgendem Inhalt erstellt:

    <VirtualHost *:8083>
        DocumentRoot "/var/www/proxypac/"
    </VirtualHost>

    und aktiviert

    $ mkdir /var/www/proxypac/
    $ a2ensite proxypac.conf

    Soll der Apache2 Dienst auch cgi bzw. pl-Skripte verarbeiten können, muss die Datei /etc/apache2/sites-available/default noch wie folgt angepasst werden:

    <Directory /var/www/>
    Options ExecCGI
    AddHandler cgi-script cgi pl

    Dies macht z.B. dann Sinn, wenn man eine individuelle Blockpage verwenden möchte. Weitere Informationen dazu findet man unter http://www.squidguard.org/Doc/redirect.html.

    Nun noch den Apache2-Dienst neustarten:

    $ service apache2 restart

     

    #4. Installation und Einrichtung von Squid3

    $ apt-get install squid3
    $ service squid3 stop
    $ adduser proxy winbindd_priv

    Damit die Authentifizierung später auch klappt, müssen in der Datei /etc/nsswitch.conf die folgenden Zeilen angepasst werden:

    passwd: files winbind
    group: files winbind


    Nun ist der Zeitpunkt gekommen, das Service-Konto für den Proxy im AD anzulegen. In diesem Beispiel heißt das Konto AD-Proxy-User.
     Sobald es angelegt wurden, muss das Kennwort dieses Konto in der Datei /etc/squid3/authfile gespeichert werden. Man kann das Kennwort auch später direkt in der Konfigurationsdatei eintragen, jedoch würde es in diesem Fall auch im Klartext in der Prozessliste ausgegeben.

    $ touch /etc/squid3/authfile
    $ echo <password> > /etc/squid3/authfile

    Nun kann das Linux-System der Domäne beitreten. Dazu wird im nachfolgenden Befehl mittels DEU/XX/Servers direkt angegeben, in welcher OU das Computerobjekt erstellt werden soll:

    $ net ads join createcomputer='DEU/XX/Servers' -U ADA-Firstname.Lastname

    Anschließend einmal den Winbind- und Samba-Dienst durchstarten:

    $ service winbind restart
    $ service samba restart

    Nun kann die AD-Konnektivität überprüft werden, indem einmal die Authentifizierung eines Benutzers getestet wird:

    $ /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
    <username> <password>

    … sowie die Gruppenmitgliedschaft abgefragt wird:

    $ /usr/lib/squid3/wbinfo_group.pl
    <username> <group_name>

    Wenn beides überrüft werden konnte, geben beide Test jeweils ein OK zurück. Ein ERR bedeutet, dass die Abfrage nicht erfolgreich war.

    Jetzt bitte die /etc/squid3/squid.conf erstmal so übernehmen. Nachfolgend ein paar Worte zu den Einstellungen. Unter "cheap rules first" sind die Regel aufgeführt, die am häufigsten zutreffen und die wenigsten "Kosten" durch weitere Abfragen verursachen. Im Abschnitt "sites free for all part" können Internetseiten angegeben werden, die für alle Mitarbeiter, unabhänging von weiteren Internetrechten erreichbar sein sollen, wie z.B die Seite der Gewerkschaft. Anschließend kommt der Kerberos, NTLM und BASIC Abschnitt. Die Reihenfolge ist Absicht, da zwar eigentlich von einem Client die stärkste Authentifizierungsmethode zuerst verwendet werden sollte, aber da dies nicht immer der Fall ist, wird dies durch die Reihenfolge erzwungen.

    In den Abschnitten NTLM und BASIC ist jeweils die erste Zeile auskommentiert, da eine Gruppenabfrage auch direkt erfolgen kann. Möchte man jedoch auf verschiedene Gruppenmitgliedschaften prüfen, darf diese Zeile nicht verwendet werden. Statt dessen muss die Abfrage mittels "ldap_group" erfolgen.

    Nun wird noch der Squid-Cache angelegt sowie zwei Whiteliste-Dateien.

    $ squid3 -z
    $ touch /etc/squid3/dom_white.acl
    $ touch /etc/squid3/regexp_white.acl

    Jetzt den ganzen Server einmal durchstarten um sicher zu gehen, dass alle Dienste die aktuellen Konfigurationsdateien gelesen haben.

     

    #5. Installation und Einrichtung von Kerberos

    Als erstes müssen wiede ein paar Pakete installiert werden:

    $ apt-get install krb5-doc krb5-user

    Anschließend muss die Datei /etc/krb5.conf wie folgt angepasst werden:

    [libdefaults]
        debug = true
        default_realm = DOMAIN.TLD
        clockskew = 300
        default_tkt_enctypes = rc4-hmac
        default_tgs_enctypes = rc4-hmac
    
    [realms]
    DOMAIN.TLD = {
        kdc = 192.168.0.1:88
        kdc = 192.168.0.2:88
        admin_server = 192.168.0.1:464
        admin_server = 192.168.0.2:464
        default_domain = DOMAIN.TLD
        kpasswd_server = 192.168.0.1:88
        kpasswd_server = 192.168.0.2:88
    }
    
    [domain_realm]
        .DOMAIN.TLD = DOMAIN.TLD
        DOMAIN.TLD = DOMAIN.TLD
    
    [logging]
        kdc = SYSLOG:DEBUG:AUTH
        admin_server = SYSLOG:DEBUG:AUTH
        default = SYSLOG:DEBUG:AUTH
    
    [appdefaults]
    pam = {
            ticket_lifetime = 1d
            renew_lifetime = 1d
            forwardable = true
            krb4_convert = false
    }

    Da in der Datei /etc/krb5.keytab gleich Informationen für die Kerberos Authentifizierung gespeichert werden und diese Datei beim starten von Squid3 mit gezogen werden muss, ist noch eine Anpassung der Datei /etc/default/squid3 notwendig. Um über die Bash auch gleich die entsprechende Tests durchführen zu können, muss die Datei /etc/profile ebenfalls angepasst werden.

    $ vim /etc/default/squid3
    
    KRB5_KTNAME=/etc/squid3/krb5.keytab
    export KRB5_KTNAME
    $ vim /etc/profile
    
    # /etc/profile: system-wide .profile file for the Bourne shell (sh(1))
    # and Bourne compatible shells (bash(1), ksh(1), ash(1), ...).
    
    KRB5_KTNAME=/etc/squid3/krb5.keytab
    export KRB5_KTNAME

    Nun den Squid3-Dienst noch einmal neustarten und in der Bash einmal ab- & wieder anmelden, damit diese Änderungen greifen.

    Noch einmal zur Sicherheit die AD-Anbindung prüfen

    $ net ads testjoin

    Jetzt wird die Datei krb5.keytab erstellt. Dazu muss man sich auf einem DC anmelden und einer Eingabeaufforderung mit Administratorrechten den folgenden Befehel ausführen:

    c:> ktpass /princ HTTP/squidproxy.domain.tld@DOMAIN.TLD /mapuser AD-Proxy-User /crypto RC4-HMAC-NT /pass <password> /ptype KRB5_NT_SRV_HST /out krb5.keytab

    Die Datei krb5.keytab wird nun auf die Linux Maschine kopiert und es werden die Dateirechte angepasst

    $ chmod 644 /etc/squid3/krb5.keytab
    $ chown proxy:proxy /etc/squid3/krb5.keytab

    Nun kann die Kerberos Authentifizierung getestet werden:

    $ kinit -V -k -t /etc/squid3/krb5.keytab HTTP/squidproxy.domain.tld@DOMAIN.TLD
    
    HTTP/squidproxy.dommain.tld
    Using default cache: /tmp/krb5cc_0
    Using principal: HTTP/squidproxy.domain.tld@DOMAIN.TLD
    Using keytab: /etc/squid3/krb5.keytab
    Authenticated to Kerberos v5

    Bei erfolgreicher Authentifizierung sollte das Ergebniss wie oben aussehen. Wenn dies nicht klappt, bitte folgendes prüfen:

    • Winbind & Samba Konfiguration, ob die richtigen DCs angegeben wurden und diese auch erreichbar sind.
    • Das Service-Konto richtig angelegt wurde. Bitte nicht vom SamAccountName irritieren lassen, dieser lautet jetzt HTTP/…, was aber richtig ist.
    • Die krb5.keytab richtig erstellt wurde.

    Bei erfolgreicher Authentifizierung sollte die Linux Maschine jetzt ein Kerberos-Ticket erhalten haben.

    $ klist -ek
    Keytab name: FILE:/etc/squid3/krb5.keytab
    KVNO Timestamp           Principal
    ---- ------------------- ------------------------------------------------------
       6 01.01.1970 01:00:00 HTTP/squidproxy.domain.tld@DOMAIN.TLD (arcfour-hmac)

    Mit folgendem Befehl noch die KVNO (Key-Version-Number) prüfen. Diese sollte identisch sein mit der obigen Ausgabe:

    $ kvno HTTP/squidproxy.domain.tld@DOMAIN.TLD
    HTTP/squidproxy.domain.tld@DOMAIN.TLD: kvno = 6

    Weitere Informatione zu Kerberos findet man unter http://www.grolmsnet.de/kerbtut/.

    Links

    Leave A Reply