Linux架設代理伺服器(2)
5.2 用戶認證設置
預設的,squid本身不帶任何認證程序,但是我們可以通過外部認證程序來實現用戶認證.一般說來有以下的認證程序:
1.LDAP認證:你可以訪問以下資源來獲取更多的有用信息.
http://www.geocities.com/ResearchTriangle/Thinktank/5292/projects/ldap/
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/ldap_auth.tar.gz
2.SMB認證:可以實現基於NT和samba的用戶認證.更多的信息請訪問以下資源.
http://www.hacom.nl/~richard/software/smb_auth.html
3.基於mysql的用戶認證.
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/mysql_auth.c
4.基於sock5密碼用戶認證.
http://nucleo.freeservers.com/
5.基於Radius 的用戶認證.
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/auth.pl
但是我們一般常用的是用ncsa實現的認證和用smb_auth實現的基於NT和samba的用戶認證.下面我們就來講這兩種認證方法的具體實現.
5.2.1 ncsa用戶認證的實現
ncsa是squid源代碼包自帶的認證程序之一,下面我們以squid-2.3.STABLE2版本為例講述ncsa的安裝和配置.
1.從www.squid-cache.org下載squid源代碼包squid-2.3.STABLE2-src.tar.gz並放到/tmp目錄下.
2.用tar解開:
tar xvzf squid-2.3.STABLE2-src.tar.gz
%make
%make install
3.然後,進入/tmp/squid-2.3.STABLE2/auth_modules/NCSA目錄.
% make
% make install
編譯成功后,會生成ncsa_auth的可執行文件.
4.拷貝生成的執行文件ncsa_auth到/usr/bin目錄
cp ncsa_auth /usr/bin/bin
5.修改squid.conf中的相關選項如下所示:
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/bin/passwd
6.定義相關的用戶類
acl auth_user proxy_auth REQUIRED
注意,REQUIRED關鍵字指明了接收所有合法用戶的訪問.
7.設置http_access
http_access allow auth_user
注意,如果你在改行中指定了多個允許訪問的用戶類的話,應該把要認證的用戶類放在第一個.如下所示:
錯誤的配置:http_access allow auth_user all manager
正確的配置:http_access allow auth_user manager all
8.利用apache攜帶的工具軟體htpasswd在/usr/local/squid/etc下生成密碼文件並添加相應的用戶信息.一般說來,該密碼文件每行包含一個用戶的用戶信息,即用
戶名和密碼.
用htpasswd生成密碼文件passwd並添加用戶bye.
htpasswd -c /usr/local/squid/etc/passwd bye
然後重新啟動squid,密碼認證已經生效.
5.2.2 smb用戶認證的實現
國內介紹並使用ncsa實現用戶認證的文章不多,而使用smb_auth和samba實現基於NT的用戶認證我還沒有看到過,下面我們就來看一看在squid中實現基於NT的用戶認
證.
當前smb_auth的最高版本是smb_auth-0.05,你可以在以下地址下載.當然,squid的源代碼包中也包含smb_auth,但是是0.02版的.
http://www.hacom.nl/~richard/software/smb_auth-0.05.tar.gz
smb_auth的主頁地址是http://www.hacom.nl/~richard/software/smb_auth.html.
1.系統需求:
squid2.0以上版本.
安裝samba2.0.4以上版本.你並不需要運行samba服務,因為smb_auth只用到了 samba的客戶端軟體.
2.下載smb_auth-0.05.tar.gz並複製到/tmp.
3.tar xvzf smb_auth-0.05.tar.gz
4.根據你的要求修改Makefile中的SAMBAPREFIX和INSTALLBIN參數.SAMBAPREFIX指定了你的samba安裝路徑,INSTALLBIN指明了smb_auth的安裝路徑.我們指定:
SAMBAPREFIX=/usr,INSTALLBIN=/usr/bin.
5.make
6.make install,成功後會在INSTALLBIN指定路徑中生成可執行文件smb_auth.
7.按下列步驟設置你要用於認證的主域控制器:
在NETLOG共享目錄中建立一個「proxy」文件,該文件只包含一個「allow」的字元串,一般說來,該NETLOG目錄位於winntsystem32Replimportscripts目錄中;
然後,設置所有你想讓其訪問squid的用戶和用戶組擁有對該文件的讀的權力.
8.修改squid.conf中的相關選項如下所示:
authenticate_program /usr/local/squid/bin/smb_auth your_domain_name
9.定義相關的用戶類
acl auth_user proxy_auth REQUIRED
注意,REQUIRED關鍵字指明了接收所有合法用戶的訪問.
10.設置http_access
http_access allow auth_user
注意,如果你在改行中指定了多個允許訪問的用戶類的話,應該把要認證的用戶類放在第一個.如下所示:
錯誤的配置:http_access allow auth_user all manager
正確的配置:http_access allow auth_user manager all
如果一切正確的話,然後重新啟動squid,密碼認證已經生效.
說明:smb_auth的調用方法:
1.smb_auth -W your_domain_name
用your_domain_name指定你的域名.smb_auth將進行廣播尋找該主域控制器.
2.smb_auth -W your_domain_name -B
如果你有多個網路介面,可以用-B 指定用於廣播的網路介面的ip地址.
3.smb_auth -W your_domain_name -U
也可以用-U直接指定該主域控制器的ip地址.
4.smb_auth -W your_domain_name -S share
可以用-S指定一個不同於NETLOG的共享目錄.
5.2.3 squid.conf中關於認證的其他設置
1.authenticate_children
說明:設置認證子進程的數目.預設為5個.如果你處於一個繁忙的網路環境中,你可以適當增大該值.
2.authenticate_ttl
說明:設置一次認證的有效期,預設是3600秒.
3.proxy_auth_realm
說明:設置用戶登錄認證時向用戶顯示的域名.
5.3透明代理的設置
關於透明代理的概念我們已經在第一節將過了,下面我們看一下怎麼樣在squid中實現透明代理.
透明代理的實現需要在Linux 2.0.29以上,但是Linux 2.0.30並不支持該功能,好在我們現在使用的通常是2.2.X以上的版本,
不必擔心這個問題.下面我們就
用ipchains squid來實現透明代理.在開始之前需要說明的是,目前我們只能實現支持HTTP的透明代理,但是也不必太擔心,因為我們之
使用代理,目的是利用squid
的緩存來提高Web的訪問速度,至於提供內部非法ip地址的訪問及提高網路安全性,我們可以用ipchains來解決.
實現環境:RedHat6.x squid2.2.x ipchains
5.3.1 linux的相關配置
確定你的內核已經配置了以下特性:
[*] Network firewalls
[ ] Socket Filtering
[*] Unix domain sockets
[*] TCP/IP networking
[ ] IP: multicasting
[ ] IP: advanced router
[ ] IP: kernel level autoconfiguration
[*] IP: firewalling
[ ] IP: firewall packet netlink device
[*] IP: always defragment (required for masquerading)
[*] IP: transparent proxy support
如果沒有,請你重新編譯內核.一般在RedHat6.x以上,系統已經預設配置了這些特性.
5.3.2squid的相關配置選項
設置squid.conf中的相關選項,如下所示:
http_port 3218
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
說明:
1.http_port 3128
在本例中,我們假設squid的HTTP監聽埠為3128,即squid預設設置值.然後,把所有來自於客戶端web請求的包(即目標埠為80)重定向到3128埠.
2.httpd_accel_host virtual
httpd_accel_port 80
這兩個選項本來是用來定義squid加速模式的.在這裡我們用virtual來指定為虛擬主機模式.80埠為要加速的請求埠.採用這種模式時,squid就取消了緩存及
ICP功能,假如你需要這些功能,這必須設置httpd_accel_with_proxy選項.
3.httpd_accel_with_proxy on
該選項在透明代理模式下是必須設置成on的.
本文出自 「飛天豬^-^ 祥子[zhang4..」 博客,請務必保留此出處http://zhang45xiang.blog.51cto.com/813708/438187