Linux架設(shè)代理服務(wù)器(2)




　　5.2 用戶認(rèn)證設(shè)置
　　
　　
　　缺省的，squid本身不帶任何認(rèn)證程序，但是我們可以通過外部認(rèn)證程序來實現(xiàn)用戶認(rèn)證。一般說來有以下的認(rèn)證程序：
　　
　　
　　1.LDAP認(rèn)證：你可以訪問以下資源來獲取更多的有用信息。
　　
　　http://www.geocities.com/ResearchTriangle/Thinktank/5292/projects/ldap/
　　
　　http://home.iae.nl/users/devet/squid/proxy_auth/contrib/ldap_auth.tar.gz
　　
　　
　　2.SMB認(rèn)證：可以實現(xiàn)基于NT和samba的用戶認(rèn)證。更多的信息請訪問以下資源。
　　
　　http://www.hacom.nl/~richard/software/smb_auth.html
　　
　　
　　3.基于mysql的用戶認(rèn)證。
　　
　　http://home.iae.nl/users/devet/squid/proxy_auth/contrib/mysql_auth.c
　　
　　
　　4.基于sock5密碼用戶認(rèn)證。
　　
　　http://nucleo.freeservers.com/
　　
　　
　　5.基于Radius 的用戶認(rèn)證。
　　
　　http://home.iae.nl/users/devet/squid/proxy_auth/contrib/auth.pl
　　
　　
　　但是我們一般常用的是用ncsa實現(xiàn)的認(rèn)證和用smb_auth實現(xiàn)的基于NT和samba的用戶認(rèn)證。下面我們就來講這兩種認(rèn)證方法的具體實現(xiàn)。
　　
　　
　　5.2.1 ncsa用戶認(rèn)證的實現(xiàn)
　　
　　
　　ncsa是squid源代碼包自帶的認(rèn)證程序之一，下面我們以squid-2.3.STABLE2版本為例講述ncsa的安裝和配置。
　　
　　1.從www.squid-cache.org下載squid源代碼包squid-2.3.STABLE2-src.tar.gz并放到/tmp目錄下。
　　
　　2.用tar解開：
　　
　　tar xvzf squid-2.3.STABLE2-src.tar.gz
　　
　　%make
　　
　　%make install
　　
　　3.然后，進(jìn)入/tmp/squid-2.3.STABLE2/auth_modules/NCSA目錄。
　　
　　% make
　　
　　% make install
　　
　　編譯成功后，會生成ncsa_auth的可執(zhí)行文件。
　　
　　4.拷貝生成的執(zhí)行文件ncsa_auth到/usr/bin目錄
　　
　　cp ncsa_auth /usr/bin/bin
　　
　　5.修改squid.conf中的相關(guān)選項如下所示：
　　
　　authenticate_program /usr/local/squid/bin/ncsa_auth /usr/bin/passwd
　　
　　6.定義相關(guān)的用戶類
　　
　　acl auth_user proxy_auth REQUIRED
　　
　　注意，REQUIRED關(guān)鍵字指明了接收所有合法用戶的訪問。
　　
　　7.設(shè)置http_access
　　
　　http_access allow auth_user
　　
　　注意，如果你在改行中指定了多個允許訪問的用戶類的話，應(yīng)該把要認(rèn)證的用戶類放在第一個。如下所示：
　　
　　錯誤的配置：http_access allow auth_user all manager
　　
　　正確的配置：http_access allow auth_user manager all
　　
　　8.利用apache攜帶的工具軟件htpasswd在/usr/local/squid/etc下生成密碼文件并添加相應(yīng)的用戶信息。一般說來，該密碼文件每行包含一個用戶的用戶信息，即用

戶名和密碼。
　　
　　用htpasswd生成密碼文件passwd并添加用戶bye。
　　
　　htpasswd -c /usr/local/squid/etc/passwd bye
　　
　　然后重新啟動squid，密碼認(rèn)證已經(jīng)生效。
　　
　　
　　5.2.2 smb用戶認(rèn)證的實現(xiàn)
　　
　　
　　國內(nèi)介紹并使用ncsa實現(xiàn)用戶認(rèn)證的文章不多，而使用smb_auth和samba實現(xiàn)基于NT的用戶認(rèn)證我還沒有看到過，下面我們就來看一看在squid中實現(xiàn)基于NT的用戶認(rèn)

證。
　　
　　當(dāng)前smb_auth的最高版本是smb_auth-0.05，你可以在以下地址下載。當(dāng)然，squid的源代碼包中也包含smb_auth,但是是0.02版的。
　　
　　http://www.hacom.nl/~richard/software/smb_auth-0.05.tar.gz
　　
　　smb_auth的主頁地址是http://www.hacom.nl/~richard/software/smb_auth.html。
　　
　　1.系統(tǒng)需求：
　　
　　squid2.0以上版本。
　　
　　安裝samba2.0.4以上版本。你并不需要運行samba服務(wù)，因為smb_auth只用到了 samba的客戶端軟件。
　　
　　2.下載smb_auth-0.05.tar.gz并復(fù)制到/tmp.
　　
　　3.tar xvzf smb_auth-0.05.tar.gz
　　
　　4.根據(jù)你的要求修改Makefile中的SAMBAPREFIX和INSTALLBIN參數(shù)。SAMBAPREFIX指定了你的samba安裝路徑，INSTALLBIN指明了smb_auth的安裝路徑。我們指定：
　　
　　SAMBAPREFIX=/usr,INSTALLBIN=/usr/bin.
　　
　　5.make
　　
　　6.make install,成功后會在INSTALLBIN指定路徑中生成可執(zhí)行文件smb_auth.
　　
　　7.按下列步驟設(shè)置你要用于認(rèn)證的主域控制器：
　　
　　首先在NETLOG共享目錄中建立一個“proxy”文件，該文件只包含一個“allow”的字符串，一般說來，該NETLOG目錄位于winntsystem32Replimportscripts目錄中；

然后，設(shè)置所有你想讓其訪問squid的用戶和用戶組擁有對該文件的讀的權(quán)力。
　　
　　8.修改squid.conf中的相關(guān)選項如下所示：
　　
　　authenticate_program /usr/local/squid/bin/smb_auth your_domain_name
　　
　　9.定義相關(guān)的用戶類
　　
　　acl auth_user proxy_auth REQUIRED
　　
　　注意，REQUIRED關(guān)鍵字指明了接收所有合法用戶的訪問。
　　
　　10.設(shè)置http_access
　　
　　http_access allow auth_user
　　
　　注意，如果你在改行中指定了多個允許訪問的用戶類的話，應(yīng)該把要認(rèn)證的用戶類放在第一個。如下所示：
　　
　　錯誤的配置：http_access allow auth_user all manager
　　
　　正確的配置：http_access allow auth_user manager all
　　
　　如果一切正確的話，然后重新啟動squid，密碼認(rèn)證已經(jīng)生效。
　　
　　說明：smb_auth的調(diào)用方法：
　　
　　1.smb_auth -W your_domain_name
　　
　　用your_domain_name指定你的域名。smb_auth將進(jìn)行廣播尋找該主域控制器。
　　
　　2.smb_auth -W your_domain_name -B
　　
　　如果你有多個網(wǎng)絡(luò)接口，可以用-B 指定用于廣播的網(wǎng)絡(luò)接口的ip地址。
　　
　　3.smb_auth -W your_domain_name -U
　　
　　也可以用-U直接指定該主域控制器的ip地址。
　　
　　4.smb_auth -W your_domain_name -S share
　　
　　可以用-S指定一個不同于NETLOG的共享目錄。
　　
　　
　　5.2.3 squid.conf中關(guān)于認(rèn)證的其他設(shè)置
　　
　　
　　1.authenticate_children
　　
　　說明：設(shè)置認(rèn)證子進(jìn)程的數(shù)目。缺省為5個。如果你處于一個繁忙的網(wǎng)絡(luò)環(huán)境中，你可以適當(dāng)增大該值。
　　
　　2.authenticate_ttl
　　
　　說明：設(shè)置一次認(rèn)證的有效期，缺省是3600秒。
　　
　　3.proxy_auth_realm
　　
　　說明：設(shè)置用戶登錄認(rèn)證時向用戶顯示的域名。
　　
　　
　　5.3透明代理的設(shè)置
　　
　　
　　關(guān)于透明代理的概念我們已經(jīng)在第一節(jié)將過了，下面我們看一下怎么樣在squid中實現(xiàn)透明代理。
　　
　　透明代理的實現(xiàn)需要在Linux 2.0.29以上，但是Linux 2.0.30并不支持該功能，好在我們現(xiàn)在使用的通常是2.2.X以上的版本，所以不必?fù)?dān)心這個問題。下面我們就

用ipchains+squid來實現(xiàn)透明代理。在開始之前需要說明的是,目前我們只能實現(xiàn)支持HTTP的透明代理，但是也不必太擔(dān)心，因為我們之所以使用代理，目的是利用squid

的緩存來提高Web的訪問速度，至于提供內(nèi)部非法ip地址的訪問及提高網(wǎng)絡(luò)安全性，我們可以用ipchains來解決。
　　
　　實現(xiàn)環(huán)境：RedHat6.x+squid2.2.x+ipchains
　　
　　
　　5.3.1 linux的相關(guān)配置
　　
　　
　　確定你的內(nèi)核已經(jīng)配置了以下特性：
　　
　　[*] Network firewalls
　　
　　[ ] Socket Filtering
　　
　　[*] Unix domain sockets
　　
　　[*] TCP/IP networking
　　
　　[ ] IP: multicasting
　　
　　[ ] IP: advanced router
　　
　　[ ] IP: kernel level autoconfiguration
　　
　　[*] IP: firewalling
　　
　　[ ] IP: firewall packet netlink device
　　
　　[*] IP: always defragment (required for masquerading)
　　
　　[*] IP: transparent proxy support
　　
　　如果沒有，請你重新編譯內(nèi)核。一般在RedHat6.x以上，系統(tǒng)已經(jīng)缺省配置了這些特性。
　　
　　
　　5.3.2squid的相關(guān)配置選項
　　
　　
　　設(shè)置squid.conf中的相關(guān)選項，如下所示：
　　
　　http_port 3218
　　
　　httpd_accel_host virtual
　　
　　httpd_accel_port 80
　　
　　httpd_accel_with_proxy on
　　
　　httpd_accel_uses_host_header on
　　
　　說明：
　　
　　1.http_port 3128
　　
　　在本例中，我們假設(shè)squid的HTTP監(jiān)聽端口為3128,即squid缺省設(shè)置值。然后，把所有來自于客戶端web請求的包（即目標(biāo)端口為80)重定向到3128端口。
　　
　　2.httpd_accel_host virtual
　　
　　httpd_accel_port 80
　　
　　這兩個選項本來是用來定義squid加速模式的。在這里我們用virtual來指定為虛擬主機模式。80端口為要加速的請求端口。采用這種模式時，squid就取消了緩存及

ICP功能，假如你需要這些功能，這必須設(shè)置httpd_accel_with_proxy選項。
　　
　　3.httpd_accel_with_proxy on
　　
　　該選項在透明代理模式下是必須設(shè)置成on的。

轉(zhuǎn)載于:https://blog.51cto.com/zhang45xiang/438187

總結(jié)

以上是生活随笔為你收集整理的linux 每日学一点《Linux架设代理服务器(2)》的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。