CentOS Squid操作系統(tǒng)重新規(guī)劃并部署
在向大家詳細介紹CentOS Squid之前,首先讓大家了解下CentOS Squid,然后全面介紹CentOS Squid,希望對大家有用。Linux下實現(xiàn)針對Windows域身份認證的代理服務器 口水熊工作的公司使用的代理服務器是基于Linux系統(tǒng)的,經常會出現(xiàn)一些或多或少的問題。直接影響到用戶正常的Internet訪問。
因為是以前的同事做的,再加上,本人一直忙于其它的項目,沒時間去調整,優(yōu)化。前不久,Linux系統(tǒng)突然無法進入GNU/GNOME桌面環(huán)境,促使我下定決心重新規(guī)劃并部署一臺符合當前應用環(huán)境需要的代理服務器系統(tǒng)來。
在部署之前,我們先來看看現(xiàn)有的代理服務器的系統(tǒng)環(huán)境:該代理服務器采用的是基于Redhat Linux 8.x操作系統(tǒng)的以NCSAR為認證模式的CentOS Squid 2.3 代理服務器。因系統(tǒng)比較陳舊,穩(wěn)定性有所欠缺,同時還存在以下不足之處:
1. 因CentOS Squid配置的問題,系統(tǒng)無法自動釋放CentOS Squid的Cache及日志所占用磁盤空間,經常會因為磁盤空間不足而導致CentOS Squid停止服務,需要人為的去刪除cache及日志以釋放磁盤空間。
2. 需要在代理服務器上,為不同的用戶設置不同的密碼,以前公司職員并不多,倒不是很麻煩,但,隨著公司的發(fā)展,職員的數(shù)量大幅增加,加重了IT管理人員的工作負擔,同時,也非常難以保證與Windows域賬戶的一致知性;
3. 客戶端不能使用AD集成的賬戶認證模式,用戶每次訪問Internet都需要重復的輸入用戶名及密碼,大大降低了用戶使用感受。
4. 沒有實現(xiàn)針對不同Internet訪問群體,設置不同的用戶權限;
5. 無法監(jiān)督用戶訪問Internet的行為,直接影響到公司網絡的正常商業(yè)行為。
據(jù)此,我們不難發(fā)現(xiàn),此代理服務器需要經常對其進行維護,非常影響IT工作人員的工作效率。從公司現(xiàn)階段的實際情況出發(fā),對代理服務器的功能重新規(guī)劃如下:
1. 能夠在一點條件下,自動回收被CentOS Squid占用的磁盤空間;
2. 利用AD服務器上的用戶賬號信息對用戶的身份進行驗證,避免重復的設置用戶信息;
3. 提供三種用戶權限:
1. 拒絕所有權限;
2. 允許訪問Internet,但不允許下載視頻、音頻、可執(zhí)行文件等;
3. 不受限,可訪問任意Internet資源;
4. IT管理人員可以查看用戶訪問Internet的日志,監(jiān)督用戶訪問Internet的行為;
既然我們的目標已經非常明確了,我們就不再廢話,開始主題吧!
I.系統(tǒng)環(huán)境:
1. CentOS 5.0 Linux
2. CentOS Squid-2.6.STABLE6-4.el5
3. samba-3.0.23c-2.el5.2.0.2
4. sarg-2.2.1-1.el5.rf
5. winbind
6. krb5
II. 修改kerberos 5身份驗證服務的配置文件(非特殊說明,均工作在root用戶模式下):
執(zhí)行下列命令:[root@proxy ~]# vim /etc/krb5.conf修改后的krb5.conf為:
1[logging]
2 default = FILE:/var/log/krb5libs.log
3 kdc = FILE:/var/log/krb5kdc.log
4 admin_server = FILE:/var/log/kadmind.log
5
6[libdefaults]
7 default_realm = COMPANY.COM #默認的域名(Realm)
8 dns_lookup_realm = false
9 dns_lookup_kdc = false
10 ticket_lifetime = 24h
11 forwardable = yes
12
13[realms]
14 COMPANY.COM = {
15 kdc = adsrv.company.com:88#此處指定KDC(密鑰分配中心)服務器的名稱或IP地址,一般都在AD服務器上
16 admin_server = adsrv.company.com:749#此處指定管理服務器的名稱或IP地址
17 default_domain = company.com #默認的域名(domain)
18 }
19
20[domain_realm] #domain與realm的對應關系
21 .company.com = COMPANY.COM
22 company.com = COMPANY.COM
23
24[kdc]
25profile = /var/kerberos/krb5kdc/kdc.conf
26
27[appdefaults]
28 pam = {
29 debug = false
30 ticket_lifetime = 36000
31 renew_lifetime = 36000
32 forwardable = true
33 krb4_convert = false
34 }
III. 利用Kinit工具測試krb5的設置是否正確
執(zhí)行下列命令:[root@proxy ~]# kinit administrator@COMPANY.COM提示輸入用戶administrator的密碼,正確輸入密碼之后返回以下信息:kinit: NOTICE: ticket renewable lifetime is 1 week
或直接返回到命令行狀態(tài),其它提示信息均可能是出錯信息。請務必確認您的Linux系統(tǒng)與Windows域服務器的時間及時區(qū)設置一致,否則將無法正常與活動目錄服務器正常通信。
IV. Samba配置因為我們此處并不涉及到真正的samba服務器的配置,所以并沒有將整個的配置內容放在這里,而僅僅只放了架設CentOS Squid代理服務器所需要的部分,如下所示:
1[global]
2idmap gid = 10000-20000
3idmap uid = 10000-20000
4password server = 192.168.21.21
5workgroup = COMPANY #域的NetBios名
6os level = 20
7encrypt passwords = yes
8security = ads #設置為Windows活動目錄安全-ADS驗證
9realm = COMPANY.COM #驗證域realm,必須大寫
10winbind use default domain = yes
以上列出來的項目均需要根據(jù)實際情況改動。
V.通過ntlm驗證程序來測試之前所做的配置是否正確在做測試之前,如必要時,請重新啟動Linux服務器。不過,你也可以嘗試僅重新啟動samba及winbind服務來達到同樣的目的(呵呵……這得看運氣!):
[root@proxy ~]# service winbind restart
[root@proxy ~]# service smb restart
重啟系統(tǒng)或以上服務之后,執(zhí)行以下命令:
[root@proxy ~]# ntlm_auth –username=administrator
提示輸入用戶administrator的密碼,正確輸入密碼之后返回以下信息:
NT_STATUS_OK: NT_STATUS_OK (0x0)
當返回的結果如上面所描述的話,則說明域賬號administrator已經通過了AD的認證。可以開始接下來的工作了。
VI. 配置NSS(Name Service Switch)NSS是Name Service Switch的縮寫,具體功能請參考維基百科中的解釋http://en.wikipedia.org/wiki/Name_Service_Switch,具體配置如下:passwd: files winbind
group: files winbind
其它部份無需改變。
VII. CentOS Squid的配置既然是做代理服務器,CentOS Squid的設置當然是重中之重,下面,根據(jù)具體實現(xiàn)功能的不同,分別講述CentOS Squid的設置:
1.為CentOS Squid配置第三方身份驗證程序
1#啟用CentOS Squid-2.5-ntlmssp做為ntlm驗證模式的輔助協(xié)議
2auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
3auth_param ntlm children 5
4auth_param ntlm keep_alive on
5
6#啟用CentOS Squid-2.5-basic做為基本驗證模式的輔助協(xié)議
7auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
8auth_param basic children 5
9auth_param basic realm Squid proxy-caching web server
10auth_param basic credentialsttl 2 hours
11auth_param basic casesensitive off
12
13#下面的這句參數(shù)是重點,保證了CentOS Squid可以針對不同的用戶組進行不同的訪問控制策略
14external_acl_type NT_global_group %LOGIN /usr/lib/squid/wbinfo_group.pl
2.用戶訪問控制列表的設置
1#將AD中的internet全局組映射到ProxyUsers
2acl ProxyUsers external NT_global_group internet
3#將AD中的nolimitedinternet全局組映射到noLimited
4acl NoLimited external NT_global_group nolimitedinternet
5#此句保證了所有用戶必須經過身份驗證
6acl AuthenticatedUsers proxy_auth REQUIRED
7#定義不允許下載的文件類型
8acl InvalidFiles urlpath_regex -i \.mp3$ \.avi$ \.rmvb$ \.mpg$ \.rm$ \.wma$ \.wmv$ \.scr$ \.exe$ \.ocx$ \.dll$ \.com$
9#定義不允許訪問的域名及IP地址,其存放于文件“denyDomain.list”與“denyIP.list”中
10acl denyDomain dstdomain "/etc/squid/denyDomain.list"
11acl denyIP dst "/etc/squid/denyIP.list"
12
13#允許NoLimited用戶訪問任意Internet資源
14http_access allow AuthenticatedUsers NoLimited
15http_access deny denyDomain
16http_access deny denyIP
17http_access deny InvalidFiles
18
19#禁止用戶訪問denyDomain.list以及denyIP.list中的域名及IP地址,并禁止下載InvalidFiles指定的文件類型
20http_access allow AuthenticatedUsers ProxyUsers
21acl all src 0.0.0.0/0.0.0.0
22acl manager proto cache_object
23acl localhost src 127.0.0.1/255.255.255.255
24acl to_localhost dst 127.0.0.0/8
25acl SSL_ports port 443
26acl Safe_ports port 80# http
27acl Safe_ports port 21# ftp
28acl Safe_ports port 443 # https
29acl Safe_ports port 70# gopher
30acl Safe_ports port 210 # wais
31acl Safe_ports port 1025-65535 # unregistered ports
32acl Safe_ports port 280 # http-mgmt
33acl Safe_ports port 488 # gss-http
34acl Safe_ports port 591 # filemaker
35acl Safe_ports port 777 # multiling http
36acl CONNECT method CONNECT
請注意此配置中的兩條語句的位置。第一條“http_access allow AuthenticatedUsers NoLimited”,第二條“http_access allow AuthenticatedUsers ProxyUsers”,此兩條語句都是將權限應用到用戶組,但不同的是位置,在CentOS Squid的ACL配置語句中,先后順序決定了其權限的不同。大家一定要多注意,細細去揣摩。
VIII. 更改winbind管道的權限
一定不能忘記這一點,沒有winbind管道的足夠的權限,系統(tǒng)是沒辦法對用戶的身份進行驗證的。其命令如下:
[root@proxy ~]# chown –R root:squid /var/cache/samba/winbindd_privileged
[root@proxy ~]# chmod –R 750 /var/cache/samba/winbindd_privileged
IX. 重啟所有相關服務
命令如下:
[root@proxy ~]# service smb restart
[root@proxy ~]# service winbind restart
[root@proxy ~]# service squid restart
到此為止,我們已經成功地完成了CentOS Squid代理服務器的配置。接下來,我們還需要給予IT管理員查看并監(jiān)督用戶訪問Internet行為的能力。
X. Sarg的安裝與配置
為了簡單起見,我們直接下載二進制的安裝包,執(zhí)行下列命令獲得二進制安裝包:
[root@proxy ~]# wget http://dag.wieers.com/rpm/packages/sarg/sarg-2.2.1-1.el5.rf.i386.rpm
安裝當然更簡單了啦,沒什么好說的,執(zhí)行下列命令即可:
[root@proxy ~]# rpm –Uvh sarg-2.2.1-1.el5.rf.i386.rpm
安裝完后,重新啟動一下Apache服務器當然是再好不過了。
【編輯推薦】
