公司使用的代理服務(wù)器是基于Linux系統(tǒng)的，經(jīng)常會(huì)出現(xiàn)一些或多或少的問題。直接影響到用戶正常的Internet訪問。因?yàn)槭且郧暗耐伦龅模偌由希救艘恢泵τ谄渌捻?xiàng)目，沒時(shí)間去調(diào)整，優(yōu)化。前不久，Linux系統(tǒng)突然無法進(jìn)入GNU/GNOME桌面環(huán)境，促使我下定決心重新規(guī)劃并部署一臺(tái)符合當(dāng)前應(yīng)用環(huán)境需要的代理服務(wù)器系統(tǒng)來。

一、在部署之前，我們先來看看現(xiàn)有的代理服務(wù)器的系統(tǒng)環(huán)境：該代理服務(wù)器采用的是基于Redhat Linux 8.x操作系統(tǒng)的以NCSAR為認(rèn)證模式的Squid 2.3 代理服務(wù)器。因系統(tǒng)比較陳舊，穩(wěn)定性有所欠缺，同時(shí)還存在以下不足之處：

1. 因Squid配置的問題，系統(tǒng)無法自動(dòng)釋放Squid的Cache及日志所占用磁盤空間，經(jīng)常會(huì)因?yàn)榇疟P空間不足而導(dǎo)致Squid停止服務(wù)，需要人為的去刪除cache及日志以釋放磁盤空間。

2. 需要在代理服務(wù)器上，為不同的用戶設(shè)置不同的密碼，以前公司職員并不多，倒不是很麻煩，但，隨著公司的發(fā)展，職員的數(shù)量大幅增加，加重了IT管理人員的工作負(fù)擔(dān)，同時(shí)，也非常難以保證與Windows域賬戶的一致知性；

3. 客戶端不能使用AD集成的賬戶認(rèn)證模式，用戶每次訪問Internet都需要重復(fù)的輸入用戶名及密碼，大大降低了用戶使用感受。

4. 沒有實(shí)現(xiàn)針對不同Internet訪問群體，設(shè)置不同的用戶權(quán)限；

5. 無法監(jiān)督用戶訪問Internet的行為，直接影響到公司網(wǎng)絡(luò)的正常商業(yè)行為。

二、據(jù)此，我們不難發(fā)現(xiàn)，此代理服務(wù)器需要經(jīng)常對其進(jìn)行維護(hù)，非常影響IT工作人員的工作效率。從公司現(xiàn)階段的實(shí)際情況出發(fā)，對代理服務(wù)器的功能重新規(guī)劃如下：

1. 能夠在一點(diǎn)條件下，自動(dòng)回收被Squid占用的磁盤空間；

2. 利用AD服務(wù)器上的用戶賬號信息對用戶的身份進(jìn)行驗(yàn)證，避免重復(fù)的設(shè)置用戶信息；

3. 提供三種用戶權(quán)限：

4. 拒絕所有權(quán)限；

5. 允許訪問Internet，但不允許下載視頻、音頻、可執(zhí)行文件等；

6. 不受限，可訪問任意Internet資源；

7. IT管理人員可以查看用戶訪問Internet的日志，監(jiān)督用戶訪問Internet的行為；

三、既然我們的目標(biāo)已經(jīng)非常明確了，我們就不再廢話，開始主題吧！

系統(tǒng)環(huán)境：

1. CentOS 5.0 Linux

2. squid-2.6.STABLE6-4.el5

3. samba-3.0.23c-2.el5.2.0.2

4. sarg-2.2.1-1.el5.rf

5. winbind

6. krb5

II. 修改kerberos 5身份驗(yàn)證服務(wù)的配置文件（非特殊說明，均工作在root用戶模式下）：

執(zhí)行下列命令：

[root@proxy ~]# vim /etc/krb5.conf
修改后的krb5.conf為：

1[logging]
2 default = FILE:/var/log/krb5libs.log
3 kdc = FILE:/var/log/krb5kdc.log
4 admin_server = FILE:/var/log/kadmind.log
5
6[libdefaults]
7 default_realm = COMPANY.COM              #默認(rèn)的域名(Realm)
8 dns_lookup_realm = false
9 dns_lookup_kdc = false
10 ticket_lifetime = 24h
11 forwardable = yes
12
13[realms]
14 COMPANY.COM = {
15 kdc = adsrv.company.com:88               #此處指定KDC服務(wù)器的名稱或IP地址
16 admin_server = adsrv.company.com:749     #此處指定管理服務(wù)器的名稱或IP地址
17 default_domain = company.com             #默認(rèn)的域名(domain)
18 }
19
20[domain_realm]                             #domain與realm的對應(yīng)關(guān)系
21 .company.com = COMPANY.COM
22 company.com = COMPANY.COM
23
24[kdc]
25profile = /var/kerberos/krb5kdc/kdc.conf
26
27[appdefaults]
28 pam = {
29   debug = false
30   ticket_lifetime = 36000
31   renew_lifetime = 36000
32   forwardable = true
33   krb4_convert = false
34 }

您正在閱讀：linux下實(shí)現(xiàn)針對windows域身份認(rèn)證的代理服務(wù)器

【編輯推薦】

1. 簡單實(shí)用的代理服務(wù)器CCProxy
2. Linux技巧：清除代理服務(wù)器上cache記錄
3. squid代理服務(wù)器泄露客戶ip和服務(wù)器信息的解決