Разработка динамических сайтов
SEO услуги
Управление контекстной рекламой

Вход на хостинг

Имя пользователя:*

Пароль пользователя:*

IT-новости

20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла

Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......

подробнее

30.07.2015 Ищем уникальный контент для сайта

Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......

подробнее

11.05.2015 Распространённые ошибки разработчиков сайтов

Не секрет, что в сети Интернет насчитывается миллионы сайтов, и каждый день появляются тысячси новых......

подробнее

Настройка Squid для использования авторизации из домена Windows 2000


Рашид Ачилов

Постановка задачи

Предположим, имеется компьютерная сеть на базе домена Windows NT или 2000, выходящая в Интернет исключительно через прокси-сервер, расположенный на компьютере под управлением операционной системы FreeBSD. Рано или поздно возникает необходимость контролировать доступ пользователей прокси-сервера к различным обьектам. Первое, что приходит в голову в таких случаях – разделение доступа по IP-адресам компьютеров. Этот способ достаточно просто реализуется с помощью несложного набора ACL в конфигурационном файле squid.conf, но он обладает одним весьма существенным недостатком – невозможно без привлечения дополнительных ресурсов однозначно сказать, какой пользователь в данный момент имел доступ к данному ресурсу. Более удобным для администратора является способ, когда каждый пользователь идентифицируется и получает доступ к прокси только при наличии действующей регистрационной записи в домене Windows (и возможно, только при вхождении в определенную группу домена). Варианты настроек прокси-сервера, обеспечивающие получение регистрационного имени пользователя, запросившего данный ресурс, и будут рассмотрены в данной статье. (Оставим пока в стороне вопрос о том, что делать с этой информацией – расчет статистики загрузки канала и отображения ее – это тема для отдельной статьи). Для моделирования ситуации использовалась следующая конфигурация:

n  Домен на базе Windows 2000 Server.

n  Прокси-сервер Squid 2.5-STABLE6 на базе FreeBSD 4.10-STABLE.

n  Samba 2.2.11 и Samba 3.0.6.

n  Все программы собирались с помощью портов, в Makefile которых при необходимости вносились изменения. Данные изменения не затрагивали каталоги для размещения файлов порта.

Все команды в данной статье запускаются от имени пользователя root. Если для выполнения команды достаточно привилегий рядового пользователя, это оговаривается заранее.

Squid 2.5 и Samba 2.2.x

Первый рассматриваемый вариант – предоставление доступа к прокси-серверу при условии наличия действующей учетной записи в домене Windows с использованием пакета Samba 2.2.x. Версия Samba здесь имеет принципиальное значение, поскольку с различными версиями пакета samba необходимо использовать различные варианты внешних аутентификаторов для squid.

Для проверки имени и пароля пользователя, переданных Squid, мы будем использовать аутентификаторы wb_ntlmauth и wb_auth, которые собираются вместе со Squid, если задать их сборку. Для задания сборки данных аутентификаторов следует добавить «winbind» в строки --enable-basic-auth-helpers=”список” и --enable-ntlm-auth-helpers=”спи-сок” в строке CONFIGURE_ARGS порта squid. В последней на данный момент версии порта (1.138 от 21.08.2004) эти параметры заданы по умолчанию. Если имеются исходные тексты Samba, то можно указать их расположение параметром --with-samba-sources=<полный путь>, например:

--with-samba-sources=/usr/ports/net/samba/work/samba-2.2.11

иначе Squid будет использовать часть исходных текстов Samba, распространяемых вместе с ним. Если сборка выполняется не с помощью портов, а самостоятельно (что крайне не рекомендуется делать), то следует добавить к строке запуска configure эти параметры:

./configure --enable-auth=”basic ntlm” --enable-basic-auth-helpers=”winbind” --enable-ntlm-auth-helpers=”winbind” ... <другие параметры порта, если необходимы>

После сборки и установки порта в каталоге /usr/local/libexec должны появиться файлы wb_ntlmauth и wb_auth.

Аутентификатор для проверки имени и пароля, переданного от Squid, обращается к демону winbindd, который должен быть запущен на данном компьютере. Для обеспечения работоспособности данной схемы Samba, в состав которой входит winbindd, должна быть собрана со следующими параметрами:


Предыдущая страницаОглавлениеСледующая страница
 
[001] [002] [003] [004] [005] [006] [007] [008] [009] [010] [011] [012] [013] [014] [015] [016] [017] [018] [019] [020]
[021] [022] [023] [024] [025] [026] [027] [028] [029] [030] [031] [032] [033] [034] [035] [036] [037] [038] [039] [040]
[041] [042] [043] [044] [045] [046] [047] [048] [049] [050] [051] [052] [053] [054] [055] [056] [057] [058] [059] [060]
[061] [062] [063] [064] [065] [066] [067] [068] [069] [070] [071] [072] [073] [074] [075] [076] [077] [078] [079] [080]
[081] [082] [083] [084] [085] [086] [087] [088] [089] [090] [091] [092] [093] [094] [095] [096] [097] [098] [099] [100]
[101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120]
[121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140]
[141] [142] [143] [144] [145] [146] [147] [148] [149]

+7 (831) 413-63-27
ООО Дельта-Технология ©2007 - 2023 год
Нижний Новгород, ул. Дальняя, 17А.
Rambler's Top100