linux 每日學一點《Linux架設代理伺服器(2)》

Linux架設代理伺服器(2)




　　5.2 用戶認證設置
　　
　　
　　預設的,squid本身不帶任何認證程序,但是我們可以通過外部認證程序來實現用戶認證.一般說來有以下的認證程序：
　　
　　
　　1.LDAP認證：你可以訪問以下資源來獲取更多的有用信息.
　　
　　http://www.geocities.com/ResearchTriangle/Thinktank/5292/projects/ldap/
　　
　　http://home.iae.nl/users/devet/squid/proxy_auth/contrib/ldap_auth.tar.gz
　　
　　
　　2.SMB認證：可以實現基於NT和samba的用戶認證.更多的信息請訪問以下資源.
　　
　　http://www.hacom.nl/~richard/software/smb_auth.html
　　
　　
　　3.基於mysql的用戶認證.
　　
　　http://home.iae.nl/users/devet/squid/proxy_auth/contrib/mysql_auth.c
　　
　　
　　4.基於sock5密碼用戶認證.
　　
　　http://nucleo.freeservers.com/
　　
　　
　　5.基於Radius 的用戶認證.
　　
　　http://home.iae.nl/users/devet/squid/proxy_auth/contrib/auth.pl
　　
　　
　　但是我們一般常用的是用ncsa實現的認證和用smb_auth實現的基於NT和samba的用戶認證.下面我們就來講這兩種認證方法的具體實現.
　　
　　
　　5.2.1 ncsa用戶認證的實現
　　
　　
　　ncsa是squid源代碼包自帶的認證程序之一,下面我們以squid-2.3.STABLE2版本為例講述ncsa的安裝和配置.
　　
　　1.從www.squid-cache.org下載squid源代碼包squid-2.3.STABLE2-src.tar.gz並放到/tmp目錄下.
　　
　　2.用tar解開：
　　
　　tar xvzf squid-2.3.STABLE2-src.tar.gz
　　
　　%make
　　
　　%make install
　　

　　3.然後,進入/tmp/squid-2.3.STABLE2/auth_modules/NCSA目錄.
　　
　　% make
　　
　　% make install
　　
　　編譯成功后,會生成ncsa_auth的可執行文件.
　　
　　4.拷貝生成的執行文件ncsa_auth到/usr/bin目錄
　　
　　cp ncsa_auth /usr/bin/bin
　　
　　5.修改squid.conf中的相關選項如下所示：
　　
　　authenticate_program /usr/local/squid/bin/ncsa_auth /usr/bin/passwd
　　
　　6.定義相關的用戶類
　　
　　acl auth_user proxy_auth REQUIRED
　　
　　注意,REQUIRED關鍵字指明了接收所有合法用戶的訪問.
　　
　　7.設置http_access
　　
　　http_access allow auth_user
　　
　　注意,如果你在改行中指定了多個允許訪問的用戶類的話,應該把要認證的用戶類放在第一個.如下所示：
　　
　　錯誤的配置：http_access allow auth_user all manager
　　
　　正確的配置：http_access allow auth_user manager all
　　
　　8.利用apache攜帶的工具軟體htpasswd在/usr/local/squid/etc下生成密碼文件並添加相應的用戶信息.一般說來,該密碼文件每行包含一個用戶的用戶信息,即用

戶名和密碼.
　　
　　用htpasswd生成密碼文件passwd並添加用戶bye.
　　
　　htpasswd -c /usr/local/squid/etc/passwd bye
　　
　　然後重新啟動squid,密碼認證已經生效.
　　
　　
　　5.2.2 smb用戶認證的實現
　　
　　
　　國內介紹並使用ncsa實現用戶認證的文章不多,而使用smb_auth和samba實現基於NT的用戶認證我還沒有看到過,下面我們就來看一看在squid中實現基於NT的用戶認

證.
　　
　　當前smb_auth的最高版本是smb_auth-0.05,你可以在以下地址下載.當然,squid的源代碼包中也包含smb_auth,但是是0.02版的.

　　
　　http://www.hacom.nl/~richard/software/smb_auth-0.05.tar.gz
　　
　　smb_auth的主頁地址是http://www.hacom.nl/~richard/software/smb_auth.html.
　　
　　1.系統需求：
　　
　　squid2.0以上版本.
　　
　　安裝samba2.0.4以上版本.你並不需要運行samba服務,因為smb_auth只用到了 samba的客戶端軟體.
　　
　　2.下載smb_auth-0.05.tar.gz並複製到/tmp.
　　
　　3.tar xvzf smb_auth-0.05.tar.gz
　　
　　4.根據你的要求修改Makefile中的SAMBAPREFIX和INSTALLBIN參數.SAMBAPREFIX指定了你的samba安裝路徑,INSTALLBIN指明了smb_auth的安裝路徑.我們指定：
　　
　　SAMBAPREFIX=/usr,INSTALLBIN=/usr/bin.
　　
　　5.make
　　
　　6.make install,成功後會在INSTALLBIN指定路徑中生成可執行文件smb_auth.
　　
　　7.按下列步驟設置你要用於認證的主域控制器：
　　
　　在NETLOG共享目錄中建立一個「proxy」文件,該文件只包含一個「allow」的字元串,一般說來,該NETLOG目錄位於winntsystem32Replimportscripts目錄中；

然後,設置所有你想讓其訪問squid的用戶和用戶組擁有對該文件的讀的權力.
　　
　　8.修改squid.conf中的相關選項如下所示：
　　
　　authenticate_program /usr/local/squid/bin/smb_auth your_domain_name
　　
　　9.定義相關的用戶類
　　
　　acl auth_user proxy_auth REQUIRED
　　
　　注意,REQUIRED關鍵字指明了接收所有合法用戶的訪問.
　　
　　10.設置http_access
　　
　　http_access allow auth_user
　　
　　注意,如果你在改行中指定了多個允許訪問的用戶類的話,應該把要認證的用戶類放在第一個.如下所示：

　　
　　錯誤的配置：http_access allow auth_user all manager
　　
　　正確的配置：http_access allow auth_user manager all
　　
　　如果一切正確的話,然後重新啟動squid,密碼認證已經生效.
　　
　　說明：smb_auth的調用方法：
　　
　　1.smb_auth -W your_domain_name
　　
　　用your_domain_name指定你的域名.smb_auth將進行廣播尋找該主域控制器.
　　
　　2.smb_auth -W your_domain_name -B
　　
　　如果你有多個網路介面,可以用-B 指定用於廣播的網路介面的ip地址.
　　
　　3.smb_auth -W your_domain_name -U
　　
　　也可以用-U直接指定該主域控制器的ip地址.
　　
　　4.smb_auth -W your_domain_name -S share
　　
　　可以用-S指定一個不同於NETLOG的共享目錄.
　　
　　
　　5.2.3 squid.conf中關於認證的其他設置
　　
　　
　　1.authenticate_children
　　
　　說明：設置認證子進程的數目.預設為5個.如果你處於一個繁忙的網路環境中,你可以適當增大該值.
　　
　　2.authenticate_ttl
　　
　　說明：設置一次認證的有效期,預設是3600秒.
　　
　　3.proxy_auth_realm
　　
　　說明：設置用戶登錄認證時向用戶顯示的域名.
　　
　　
　　5.3透明代理的設置
　　
　　
　　關於透明代理的概念我們已經在第一節將過了,下面我們看一下怎麼樣在squid中實現透明代理.
　　
　　透明代理的實現需要在Linux 2.0.29以上,但是Linux 2.0.30並不支持該功能,好在我們現在使用的通常是2.2.X以上的版本,不必擔心這個問題.下面我們就

用ipchains squid來實現透明代理.在開始之前需要說明的是,目前我們只能實現支持HTTP的透明代理,但是也不必太擔心,因為我們之使用代理,目的是利用squid

的緩存來提高Web的訪問速度,至於提供內部非法ip地址的訪問及提高網路安全性,我們可以用ipchains來解決.
　　
　　實現環境：RedHat6.x squid2.2.x ipchains
　　
　　
　　5.3.1 linux的相關配置
　　
　　
　　確定你的內核已經配置了以下特性：
　　
　　[*] Network firewalls
　　
　　[ ] Socket Filtering
　　
　　[*] Unix domain sockets
　　
　　[*] TCP/IP networking
　　
　　[ ] IP: multicasting
　　
　　[ ] IP: advanced router
　　
　　[ ] IP: kernel level autoconfiguration
　　
　　[*] IP: firewalling
　　
　　[ ] IP: firewall packet netlink device
　　
　　[*] IP: always defragment (required for masquerading)
　　
　　[*] IP: transparent proxy support
　　
　　如果沒有,請你重新編譯內核.一般在RedHat6.x以上,系統已經預設配置了這些特性.
　　
　　
　　5.3.2squid的相關配置選項
　　
　　
　　設置squid.conf中的相關選項,如下所示：
　　
　　http_port 3218
　　
　　httpd_accel_host virtual
　　
　　httpd_accel_port 80
　　
　　httpd_accel_with_proxy on
　　
　　httpd_accel_uses_host_header on
　　
　　說明：
　　
　　1.http_port 3128
　　
　　在本例中,我們假設squid的HTTP監聽埠為3128,即squid預設設置值.然後,把所有來自於客戶端web請求的包（即目標埠為80)重定向到3128埠.
　　
　　2.httpd_accel_host virtual
　　
　　httpd_accel_port 80
　　
　　這兩個選項本來是用來定義squid加速模式的.在這裡我們用virtual來指定為虛擬主機模式.80埠為要加速的請求埠.採用這種模式時,squid就取消了緩存及

ICP功能,假如你需要這些功能,這必須設置httpd_accel_with_proxy選項.
　　
　　3.httpd_accel_with_proxy on
　　
　　該選項在透明代理模式下是必須設置成on的.

本文出自 「飛天豬^-^ 祥子[zhang4..」 博客,請務必保留此出處http://zhang45xiang.blog.51cto.com/813708/438187

Tags: linux system 系統