linux 每日学一点《Linux架设代理服务器(2)》
生活随笔
收集整理的這篇文章主要介紹了
linux 每日学一点《Linux架设代理服务器(2)》
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
Linux架設代理服務器(2)
5.2 用戶認證設置
缺省的,squid本身不帶任何認證程序,但是我們可以通過外部認證程序來實現用戶認證。一般說來有以下的認證程序:
1.LDAP認證:你可以訪問以下資源來獲取更多的有用信息。
http://www.geocities.com/ResearchTriangle/Thinktank/5292/projects/ldap/
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/ldap_auth.tar.gz
2.SMB認證:可以實現基于NT和samba的用戶認證。更多的信息請訪問以下資源。
http://www.hacom.nl/~richard/software/smb_auth.html
3.基于mysql的用戶認證。
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/mysql_auth.c
4.基于sock5密碼用戶認證。
http://nucleo.freeservers.com/
5.基于Radius 的用戶認證。
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/auth.pl
但是我們一般常用的是用ncsa實現的認證和用smb_auth實現的基于NT和samba的用戶認證。下面我們就來講這兩種認證方法的具體實現。
5.2.1 ncsa用戶認證的實現
ncsa是squid源代碼包自帶的認證程序之一,下面我們以squid-2.3.STABLE2版本為例講述ncsa的安裝和配置。
1.從www.squid-cache.org下載squid源代碼包squid-2.3.STABLE2-src.tar.gz并放到/tmp目錄下。
2.用tar解開:
tar xvzf squid-2.3.STABLE2-src.tar.gz
%make
%make install
3.然后,進入/tmp/squid-2.3.STABLE2/auth_modules/NCSA目錄。
% make
% make install
編譯成功后,會生成ncsa_auth的可執行文件。
4.拷貝生成的執行文件ncsa_auth到/usr/bin目錄
cp ncsa_auth /usr/bin/bin
5.修改squid.conf中的相關選項如下所示:
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/bin/passwd
6.定義相關的用戶類
acl auth_user proxy_auth REQUIRED
注意,REQUIRED關鍵字指明了接收所有合法用戶的訪問。
7.設置http_access
http_access allow auth_user
注意,如果你在改行中指定了多個允許訪問的用戶類的話,應該把要認證的用戶類放在第一個。如下所示:
錯誤的配置:http_access allow auth_user all manager
正確的配置:http_access allow auth_user manager all
8.利用apache攜帶的工具軟件htpasswd在/usr/local/squid/etc下生成密碼文件并添加相應的用戶信息。一般說來,該密碼文件每行包含一個用戶的用戶信息,即用
戶名和密碼。
用htpasswd生成密碼文件passwd并添加用戶bye。
htpasswd -c /usr/local/squid/etc/passwd bye
然后重新啟動squid,密碼認證已經生效。
5.2.2 smb用戶認證的實現
國內介紹并使用ncsa實現用戶認證的文章不多,而使用smb_auth和samba實現基于NT的用戶認證我還沒有看到過,下面我們就來看一看在squid中實現基于NT的用戶認
證。
當前smb_auth的最高版本是smb_auth-0.05,你可以在以下地址下載。當然,squid的源代碼包中也包含smb_auth,但是是0.02版的。
http://www.hacom.nl/~richard/software/smb_auth-0.05.tar.gz
smb_auth的主頁地址是http://www.hacom.nl/~richard/software/smb_auth.html。
1.系統需求:
squid2.0以上版本。
安裝samba2.0.4以上版本。你并不需要運行samba服務,因為smb_auth只用到了 samba的客戶端軟件。
2.下載smb_auth-0.05.tar.gz并復制到/tmp.
3.tar xvzf smb_auth-0.05.tar.gz
4.根據你的要求修改Makefile中的SAMBAPREFIX和INSTALLBIN參數。SAMBAPREFIX指定了你的samba安裝路徑,INSTALLBIN指明了smb_auth的安裝路徑。我們指定:
SAMBAPREFIX=/usr,INSTALLBIN=/usr/bin.
5.make
6.make install,成功后會在INSTALLBIN指定路徑中生成可執行文件smb_auth.
7.按下列步驟設置你要用于認證的主域控制器:
首先在NETLOG共享目錄中建立一個“proxy”文件,該文件只包含一個“allow”的字符串,一般說來,該NETLOG目錄位于winntsystem32Replimportscripts目錄中;
然后,設置所有你想讓其訪問squid的用戶和用戶組擁有對該文件的讀的權力。
8.修改squid.conf中的相關選項如下所示:
authenticate_program /usr/local/squid/bin/smb_auth your_domain_name
9.定義相關的用戶類
acl auth_user proxy_auth REQUIRED
注意,REQUIRED關鍵字指明了接收所有合法用戶的訪問。
10.設置http_access
http_access allow auth_user
注意,如果你在改行中指定了多個允許訪問的用戶類的話,應該把要認證的用戶類放在第一個。如下所示:
錯誤的配置:http_access allow auth_user all manager
正確的配置:http_access allow auth_user manager all
如果一切正確的話,然后重新啟動squid,密碼認證已經生效。
說明:smb_auth的調用方法:
1.smb_auth -W your_domain_name
用your_domain_name指定你的域名。smb_auth將進行廣播尋找該主域控制器。
2.smb_auth -W your_domain_name -B
如果你有多個網絡接口,可以用-B 指定用于廣播的網絡接口的ip地址。
3.smb_auth -W your_domain_name -U
也可以用-U直接指定該主域控制器的ip地址。
4.smb_auth -W your_domain_name -S share
可以用-S指定一個不同于NETLOG的共享目錄。
5.2.3 squid.conf中關于認證的其他設置
1.authenticate_children
說明:設置認證子進程的數目。缺省為5個。如果你處于一個繁忙的網絡環境中,你可以適當增大該值。
2.authenticate_ttl
說明:設置一次認證的有效期,缺省是3600秒。
3.proxy_auth_realm
說明:設置用戶登錄認證時向用戶顯示的域名。
5.3透明代理的設置
關于透明代理的概念我們已經在第一節將過了,下面我們看一下怎么樣在squid中實現透明代理。
透明代理的實現需要在Linux 2.0.29以上,但是Linux 2.0.30并不支持該功能,好在我們現在使用的通常是2.2.X以上的版本,所以不必擔心這個問題。下面我們就
用ipchains+squid來實現透明代理。在開始之前需要說明的是,目前我們只能實現支持HTTP的透明代理,但是也不必太擔心,因為我們之所以使用代理,目的是利用squid
的緩存來提高Web的訪問速度,至于提供內部非法ip地址的訪問及提高網絡安全性,我們可以用ipchains來解決。
實現環境:RedHat6.x+squid2.2.x+ipchains
5.3.1 linux的相關配置
確定你的內核已經配置了以下特性:
[*] Network firewalls
[ ] Socket Filtering
[*] Unix domain sockets
[*] TCP/IP networking
[ ] IP: multicasting
[ ] IP: advanced router
[ ] IP: kernel level autoconfiguration
[*] IP: firewalling
[ ] IP: firewall packet netlink device
[*] IP: always defragment (required for masquerading)
[*] IP: transparent proxy support
如果沒有,請你重新編譯內核。一般在RedHat6.x以上,系統已經缺省配置了這些特性。
5.3.2squid的相關配置選項
設置squid.conf中的相關選項,如下所示:
http_port 3218
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
說明:
1.http_port 3128
在本例中,我們假設squid的HTTP監聽端口為3128,即squid缺省設置值。然后,把所有來自于客戶端web請求的包(即目標端口為80)重定向到3128端口。
2.httpd_accel_host virtual
httpd_accel_port 80
這兩個選項本來是用來定義squid加速模式的。在這里我們用virtual來指定為虛擬主機模式。80端口為要加速的請求端口。采用這種模式時,squid就取消了緩存及
ICP功能,假如你需要這些功能,這必須設置httpd_accel_with_proxy選項。
3.httpd_accel_with_proxy on
該選項在透明代理模式下是必須設置成on的。
5.2 用戶認證設置
缺省的,squid本身不帶任何認證程序,但是我們可以通過外部認證程序來實現用戶認證。一般說來有以下的認證程序:
1.LDAP認證:你可以訪問以下資源來獲取更多的有用信息。
http://www.geocities.com/ResearchTriangle/Thinktank/5292/projects/ldap/
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/ldap_auth.tar.gz
2.SMB認證:可以實現基于NT和samba的用戶認證。更多的信息請訪問以下資源。
http://www.hacom.nl/~richard/software/smb_auth.html
3.基于mysql的用戶認證。
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/mysql_auth.c
4.基于sock5密碼用戶認證。
http://nucleo.freeservers.com/
5.基于Radius 的用戶認證。
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/auth.pl
但是我們一般常用的是用ncsa實現的認證和用smb_auth實現的基于NT和samba的用戶認證。下面我們就來講這兩種認證方法的具體實現。
5.2.1 ncsa用戶認證的實現
ncsa是squid源代碼包自帶的認證程序之一,下面我們以squid-2.3.STABLE2版本為例講述ncsa的安裝和配置。
1.從www.squid-cache.org下載squid源代碼包squid-2.3.STABLE2-src.tar.gz并放到/tmp目錄下。
2.用tar解開:
tar xvzf squid-2.3.STABLE2-src.tar.gz
%make
%make install
3.然后,進入/tmp/squid-2.3.STABLE2/auth_modules/NCSA目錄。
% make
% make install
編譯成功后,會生成ncsa_auth的可執行文件。
4.拷貝生成的執行文件ncsa_auth到/usr/bin目錄
cp ncsa_auth /usr/bin/bin
5.修改squid.conf中的相關選項如下所示:
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/bin/passwd
6.定義相關的用戶類
acl auth_user proxy_auth REQUIRED
注意,REQUIRED關鍵字指明了接收所有合法用戶的訪問。
7.設置http_access
http_access allow auth_user
注意,如果你在改行中指定了多個允許訪問的用戶類的話,應該把要認證的用戶類放在第一個。如下所示:
錯誤的配置:http_access allow auth_user all manager
正確的配置:http_access allow auth_user manager all
8.利用apache攜帶的工具軟件htpasswd在/usr/local/squid/etc下生成密碼文件并添加相應的用戶信息。一般說來,該密碼文件每行包含一個用戶的用戶信息,即用
戶名和密碼。
用htpasswd生成密碼文件passwd并添加用戶bye。
htpasswd -c /usr/local/squid/etc/passwd bye
然后重新啟動squid,密碼認證已經生效。
5.2.2 smb用戶認證的實現
國內介紹并使用ncsa實現用戶認證的文章不多,而使用smb_auth和samba實現基于NT的用戶認證我還沒有看到過,下面我們就來看一看在squid中實現基于NT的用戶認
證。
當前smb_auth的最高版本是smb_auth-0.05,你可以在以下地址下載。當然,squid的源代碼包中也包含smb_auth,但是是0.02版的。
http://www.hacom.nl/~richard/software/smb_auth-0.05.tar.gz
smb_auth的主頁地址是http://www.hacom.nl/~richard/software/smb_auth.html。
1.系統需求:
squid2.0以上版本。
安裝samba2.0.4以上版本。你并不需要運行samba服務,因為smb_auth只用到了 samba的客戶端軟件。
2.下載smb_auth-0.05.tar.gz并復制到/tmp.
3.tar xvzf smb_auth-0.05.tar.gz
4.根據你的要求修改Makefile中的SAMBAPREFIX和INSTALLBIN參數。SAMBAPREFIX指定了你的samba安裝路徑,INSTALLBIN指明了smb_auth的安裝路徑。我們指定:
SAMBAPREFIX=/usr,INSTALLBIN=/usr/bin.
5.make
6.make install,成功后會在INSTALLBIN指定路徑中生成可執行文件smb_auth.
7.按下列步驟設置你要用于認證的主域控制器:
首先在NETLOG共享目錄中建立一個“proxy”文件,該文件只包含一個“allow”的字符串,一般說來,該NETLOG目錄位于winntsystem32Replimportscripts目錄中;
然后,設置所有你想讓其訪問squid的用戶和用戶組擁有對該文件的讀的權力。
8.修改squid.conf中的相關選項如下所示:
authenticate_program /usr/local/squid/bin/smb_auth your_domain_name
9.定義相關的用戶類
acl auth_user proxy_auth REQUIRED
注意,REQUIRED關鍵字指明了接收所有合法用戶的訪問。
10.設置http_access
http_access allow auth_user
注意,如果你在改行中指定了多個允許訪問的用戶類的話,應該把要認證的用戶類放在第一個。如下所示:
錯誤的配置:http_access allow auth_user all manager
正確的配置:http_access allow auth_user manager all
如果一切正確的話,然后重新啟動squid,密碼認證已經生效。
說明:smb_auth的調用方法:
1.smb_auth -W your_domain_name
用your_domain_name指定你的域名。smb_auth將進行廣播尋找該主域控制器。
2.smb_auth -W your_domain_name -B
如果你有多個網絡接口,可以用-B 指定用于廣播的網絡接口的ip地址。
3.smb_auth -W your_domain_name -U
也可以用-U直接指定該主域控制器的ip地址。
4.smb_auth -W your_domain_name -S share
可以用-S指定一個不同于NETLOG的共享目錄。
5.2.3 squid.conf中關于認證的其他設置
1.authenticate_children
說明:設置認證子進程的數目。缺省為5個。如果你處于一個繁忙的網絡環境中,你可以適當增大該值。
2.authenticate_ttl
說明:設置一次認證的有效期,缺省是3600秒。
3.proxy_auth_realm
說明:設置用戶登錄認證時向用戶顯示的域名。
5.3透明代理的設置
關于透明代理的概念我們已經在第一節將過了,下面我們看一下怎么樣在squid中實現透明代理。
透明代理的實現需要在Linux 2.0.29以上,但是Linux 2.0.30并不支持該功能,好在我們現在使用的通常是2.2.X以上的版本,所以不必擔心這個問題。下面我們就
用ipchains+squid來實現透明代理。在開始之前需要說明的是,目前我們只能實現支持HTTP的透明代理,但是也不必太擔心,因為我們之所以使用代理,目的是利用squid
的緩存來提高Web的訪問速度,至于提供內部非法ip地址的訪問及提高網絡安全性,我們可以用ipchains來解決。
實現環境:RedHat6.x+squid2.2.x+ipchains
5.3.1 linux的相關配置
確定你的內核已經配置了以下特性:
[*] Network firewalls
[ ] Socket Filtering
[*] Unix domain sockets
[*] TCP/IP networking
[ ] IP: multicasting
[ ] IP: advanced router
[ ] IP: kernel level autoconfiguration
[*] IP: firewalling
[ ] IP: firewall packet netlink device
[*] IP: always defragment (required for masquerading)
[*] IP: transparent proxy support
如果沒有,請你重新編譯內核。一般在RedHat6.x以上,系統已經缺省配置了這些特性。
5.3.2squid的相關配置選項
設置squid.conf中的相關選項,如下所示:
http_port 3218
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
說明:
1.http_port 3128
在本例中,我們假設squid的HTTP監聽端口為3128,即squid缺省設置值。然后,把所有來自于客戶端web請求的包(即目標端口為80)重定向到3128端口。
2.httpd_accel_host virtual
httpd_accel_port 80
這兩個選項本來是用來定義squid加速模式的。在這里我們用virtual來指定為虛擬主機模式。80端口為要加速的請求端口。采用這種模式時,squid就取消了緩存及
ICP功能,假如你需要這些功能,這必須設置httpd_accel_with_proxy選項。
3.httpd_accel_with_proxy on
該選項在透明代理模式下是必須設置成on的。
轉載于:https://blog.51cto.com/zhang45xiang/438187
總結
以上是生活随笔為你收集整理的linux 每日学一点《Linux架设代理服务器(2)》的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 在51aspx收集的农历日期类
- 下一篇: 常见的服务器内存浅析