Как да настроим SQUID да оторизира потребителите от Microsof | СЪВЕТИ

Начало

Вход/Регистрация

Помощ

Новини
Актуална тема
Linux портали
Какво е Линукс?
Въпроси-отговори
Форуми
   •Трудова борса
   •Конкурс
Статии
   • История
   • Съвети
   • Идеи/Мнения
   • Разработки
   • Програми
   • Игри
Дистрибуции
   •Поръчка на CD
Made In BG
Файлове
Връзки
Галерия
Конференции

Външен вид
Предложения
Направи си сам

За нас
Линукс за българи ЕООД
Линк към нас
Предложения

Подкрепяно от:

	СЪВЕТИ

Съвети>Мрежа>Squid

Как да настроим SQUID да оторизира потребителите от Microsof

от Аерион(4-10-2004)

рейтинг (30) [ добре ] [ зле ]

Вариант за отпечатване
Вместо въведение
Преди около 7 месеца, на предната ми месторабота започнах, като всеки разумен човек да се стремя към централизация на управлението във фирмата. Това което беше едно от най – досадните задължения бе да се задават права на потребителите за достъп до интернет. Мрежата беше Microsoft базирана - Активна Директория. Естественото решение на задачата беше да се избере Microsoft ISA Server, но за мое най - голямо щастие, никой от хората от които зависеше закупуването на такова решение не му се доверяваха - IT Managera - понеже го познаваше до някъде, генералния директор - понеже хич не му хареса телефонния номер който всъщност беше цената, която трябваше да се заплати. Тогава имах възможността да се поровя малко с LDAP (openldap) и със squid. Така попаднах на описаното по - долу решение.
Необходим софтуер:

openldap

SQUID - компилиран с поддръжка на ldap (това означава, че имате следните програми: squid_ldap_auth и squid_ldap_group)

Запознаване със структурата на Активната Директория:
За да придобиете представа, как изглежда структурата на Активната Директория (АД) можете да я разгледате от вашата система с командата:
example# ldapsearch -L -D "yourdomainyourdomainusername" "(&(objectCategory=person)(objectClass=user)(sAMAccountName= someusername))" -W
Вие ще бъдете попитан за паролата на потребителя на домейна ( yourdomainusername). Отговора на тази команда е доста голям, затова по -добре е да го пренасочите към файл. За предпочитане е да разгледате файла и да се опитате да вникнете в съдържанието му. В следващата версия на този документ, ще има кратко представяне на файла.
Запознаване с програмите squid_ldap_auth и squid_ldap_group:
За да имате представа как точно работят тези две команди, най – добре е да ги тествате от конзола, преди да ги “дадете” на SQUID да работи с тях. Да предположим, че имате конфигуриран Microsoft Active Direcotry Server с име на домейна: example.com, потребител testuser, който принадлежи в групата proxygroup, парола на потребителя testuserpass и интернет адрес 1.2.3.4. За да може да работи SQUID с АД, той трябва да може да се идентифицира в нея. За целта можете да използвате вече съществуващ потребител или да създадете нов. В нашия случай, ще използваме потребител proxyauth с парола proxyauthpassword.

squid_ldap_auth:

Следната команда проверя за верността на комбинацията потребител/парола за Активната Директория:
#example /usr/lib/squid/squid_ldap_auth -b cn=users,dc=example,dc=com -u cn -h 1.2.3.4 -D cn=proxyauth,cn=users,dc=example,dc=com -w “proxyauthpassword” -f sAMAccountName=%s
Ако познавате openldap и ако сте разгледали внимателно файла със съдържанието на активната директория, в общи линии ще сте наясно какво точно иска този файл. И все пак – накратко:
-b cn=users,dc=example,dc=com - с този ред указвате, точно в коя част на дървото на АД ще търсим информация;

-u cn - показвате обектния клас с който ще търсим нужната информация;

-h 1.2.3.4 – това е адреса на АД;

-D cn=proxyauth,cn=users,dc=example,dc=com – указва потребителя, който иска информацията. Това трябва да е валиден за АД потребител;

-w "proxyauthpassword" – парола за идентификация в АД на потребителя, който търси информацията;

-f sAMAccountName=%s – това е информацията която търсим (проверяваме) – съответствие на потребител и парола.

Когато стартирате програмата, няма да получите никакъв отговор, запитване или промпт. Програмата очаква да въведете основната информация (потребител/парола) в следния формат: username password Ако комбинацията е вярна, ще получите отговор “OK”, ако ли не - “ERR”.
Ето един пример:

example# /usr/lib/squid/squid_ldap_auth -b cn=users,dc=example,dc=com -u cn -h 1.2.3.4 -D cn=proxyauth,cn=users,dc=brs,dc=bg -w "proxyauthpassword" -f sAMAccountName=%s testuser testuserpass OK testuser someotherpass ERR

squid_ldap_group:

Следната команда проверява дали посочения потребител принадлежи в посочената група в АД:
example# /usr/lib/squid/squid_ldap_group -b "dc=example,dc=com" -h 1.2.3.4 -D "cn=proxyauth,cn=users,dc=example,dc=com" -w proxyauthpassword -f "(&(cn=%a)(member=%v))" -F "(sAMAccountName=%s)"
Тук неясните аргументи вече трябва да са са по – малко:
member=%v – дали потребителя принадлежи на посочената група.
И при тази команда, след изпълнението й, няма да получите никаква реакция – командата очаква да въведете потребителско име и група в следната последователност: username group Отново възможните отговри са “OK”, и “ERR”.
Ето един пример:

example# /usr/lib/squid/squid_ldap_group -b "dc=example,dc=com" -h 1.2.3.4 -D "cn=proxyauth,cn=users,dc=example,dc=com" -w “proxyauthpassword” -f "(&(cn=%a)(member=%v))" -F "(sAMAccountName=%s)" testuser proxygroup OK testuser othergroup-testuser-dont-belong ERR

Файла squid.conf и имплементиране на програмите squid_ldap_auth и squid_ldap_group в него.
След като се запознахме с начина на работа на тези програми, остава само да ги включим в конфигурационния файл на squid, да опишем правата за достъп (acl) и сме готови да пуснем нашия сървър. Тъй, като най – добрата документация за SQUID си остава конфигурационния му файл, ще опиша само местата на които трябва да бъдат въведени програмите и как в общи линии изглеждат правата за достъп.

За програмата squid_ldap_auth

--- squid.conf --- ... auth_param basic program /usr/lib/squid/squid_ldap_auth -b cn=users,dc=example,dc=com -u cn -h 1.2.3.4 -D cn=proxyauth,cn=users,dc=brs,dc=bg -w "proxyauthpassword" -f sAMAccountName=%s ... --- squid.conf ----

За програмата squid_ldap_group

--- squid.conf --- ... external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -b "dc=brs,dc=bg" -h brs-dc1.brs.bg -D "cn=proxyauth,cn=users,dc=brs,dc=bg" -w Aa123456 -f "(&(cn=%a)(member=%v))" -F "(sAMAccountName=%s)" ... --- squid.conf ---

правата на достъп (acl):

--- squid.conf --- ... acl password proxy_auth REQUIRED acl proxygroup external ldap_group proxygroup ... --- squid.conf --- Тези два реда указват, че за да използвате проксито, трябва задължително да се представите на софтуера с потребителско име и парола (от АД в случая) и да сте член на групата proxygroup. П.П. Вариантите за проверка на потребителя и потребителската група са два. Тук е посочен само единия. При не толкова задълбочен преглед на файла с експорта на АД, ще видите и другата възможност.

<< video4linux и как да си направим webcam server | Напълно автономно делегиране на in-addr.arpa >>

Коментари: (общо 0) Оценени с или повече

[Добави коментар]

МЕНЮ

Търсене

Добавяне

ЗАГЛАВИЯ

Подробно ръководство за ipfw nat

Mikrotik + Openvpn + android

Как работи DNS, част 3 - инсталация на DNS cache сървър.

Периодична таблица на дистрибуциите на Linux ...

Как работи DNS, част 2 - Топология, Authoritative servers

Интервю на „Линукс за българи“ с Хюсеин Исмаил

Jabber (XMPP) сървър под Debian Squeeze

Как работи DNS, част 1 - Resolvers и Cache сървъри.

Debian, realtek RTL8111/8168B и wireless конфигурация

Въведение в daemontools (DJB Way)

Персонализиране на външния вид на Ubuntu 11.10

DNSCurve, NaCl, CurveCP - съвременен поглед върху защитата н

sbopkg

Първа помощ за десктоп с Линукс... част втора

Първа помощ за десктоп с Линукс

Не на Скйап

Инсталиране и конфигуриране на Wive на Edimax EW-7209APg

Сигурно електронно банкиране с Firefox и Linux

Основи на iptables

За уеб браузъра и неприкосновеността на личния Ви живот

Маскиране на VPN тунел

Електронен подпис на Банксервиз под Ubuntu 9.10 и 10.04

Електронен подпис за работа под Linux и OpenSSL

FreeBSD 8.0 Обединение на няколко мрежови интерфейса в един

ПОДКАТЕГОРИИ

Десктоп

Сигурност

Кирилизация

Основни знания и средства

FreeBSD

Linux дистрибуции

АРХИВ

05 - 2022
01 - 2017
03 - 2016
11 - 2012
10 - 2012
09 - 2012
04 - 2012
12 - 2011
05 - 2011
03 - 2011
12 - 2010
07 - 2010
04 - 2010
03 - 2010
01 - 2010
10 - 2009
09 - 2009
08 - 2009
06 - 2009
04 - 2009
02 - 2009
12 - 2008
09 - 2008
05 - 2008
04 - 2008
03 - 2008
02 - 2008
01 - 2008
12 - 2007
11 - 2007
10 - 2007
09 - 2007
07 - 2007
05 - 2007
03 - 2007
02 - 2007
01 - 2007
11 - 2006
10 - 2006
09 - 2006
08 - 2006
07 - 2006
06 - 2006
05 - 2006
04 - 2006
03 - 2006
02 - 2006
01 - 2006
12 - 2005
11 - 2005
09 - 2005
08 - 2005
07 - 2005
06 - 2005
05 - 2005
04 - 2005
02 - 2005
01 - 2005
12 - 2004
11 - 2004
10 - 2004
09 - 2004
08 - 2004
07 - 2004
06 - 2004
05 - 2004
04 - 2004
03 - 2004
02 - 2004
01 - 2004
12 - 2003
11 - 2003
10 - 2003
08 - 2003
07 - 2003
06 - 2003
04 - 2003
03 - 2003
02 - 2003
01 - 2003
12 - 2002
11 - 2002
09 - 2002
08 - 2002
06 - 2002
05 - 2002
04 - 2002
02 - 2002
01 - 2002
11 - 2001
10 - 2001
09 - 2001
08 - 2001
06 - 2001
05 - 2001
03 - 2001
02 - 2001
01 - 2001
10 - 2000
09 - 2000
08 - 2000
07 - 2000
06 - 2000
05 - 2000
03 - 2000
02 - 2000
01 - 2000
-

ВРЪЗКИ

Linux за начинаещи

	© 2011-... Асоциация "Линукс за българи" © 2007-2010 Линукс за българи ЕООД © 1999-2006 Slavej Karadjov Ако искате да препечатате или цитирате информация от този сайт прочетете първо това Външния вид е направен от MOMCHE Code Version: 1.0.8 H (Revision: 23-09-2011)

Изпълнението отне: 0 wallclock secs ( 0.18 usr + 0.01 sys = 0.19 CPU)