linux 每日学一点《Linux架设代理服务器(2)》
生活随笔
收集整理的這篇文章主要介紹了
linux 每日学一点《Linux架设代理服务器(2)》
小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
Linux架設(shè)代理服務(wù)器(2)
5.2 用戶認(rèn)證設(shè)置
缺省的,squid本身不帶任何認(rèn)證程序,但是我們可以通過(guò)外部認(rèn)證程序來(lái)實(shí)現(xiàn)用戶認(rèn)證。一般說(shuō)來(lái)有以下的認(rèn)證程序:
1.LDAP認(rèn)證:你可以訪問(wèn)以下資源來(lái)獲取更多的有用信息。
http://www.geocities.com/ResearchTriangle/Thinktank/5292/projects/ldap/
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/ldap_auth.tar.gz
2.SMB認(rèn)證:可以實(shí)現(xiàn)基于NT和samba的用戶認(rèn)證。更多的信息請(qǐng)?jiān)L問(wèn)以下資源。
http://www.hacom.nl/~richard/software/smb_auth.html
3.基于mysql的用戶認(rèn)證。
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/mysql_auth.c
4.基于sock5密碼用戶認(rèn)證。
http://nucleo.freeservers.com/
5.基于Radius 的用戶認(rèn)證。
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/auth.pl
但是我們一般常用的是用ncsa實(shí)現(xiàn)的認(rèn)證和用smb_auth實(shí)現(xiàn)的基于NT和samba的用戶認(rèn)證。下面我們就來(lái)講這兩種認(rèn)證方法的具體實(shí)現(xiàn)。
5.2.1 ncsa用戶認(rèn)證的實(shí)現(xiàn)
ncsa是squid源代碼包自帶的認(rèn)證程序之一,下面我們以squid-2.3.STABLE2版本為例講述ncsa的安裝和配置。
1.從www.squid-cache.org下載squid源代碼包squid-2.3.STABLE2-src.tar.gz并放到/tmp目錄下。
2.用tar解開(kāi):
tar xvzf squid-2.3.STABLE2-src.tar.gz
%make
%make install
3.然后,進(jìn)入/tmp/squid-2.3.STABLE2/auth_modules/NCSA目錄。
% make
% make install
編譯成功后,會(huì)生成ncsa_auth的可執(zhí)行文件。
4.拷貝生成的執(zhí)行文件ncsa_auth到/usr/bin目錄
cp ncsa_auth /usr/bin/bin
5.修改squid.conf中的相關(guān)選項(xiàng)如下所示:
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/bin/passwd
6.定義相關(guān)的用戶類(lèi)
acl auth_user proxy_auth REQUIRED
注意,REQUIRED關(guān)鍵字指明了接收所有合法用戶的訪問(wèn)。
7.設(shè)置http_access
http_access allow auth_user
注意,如果你在改行中指定了多個(gè)允許訪問(wèn)的用戶類(lèi)的話,應(yīng)該把要認(rèn)證的用戶類(lèi)放在第一個(gè)。如下所示:
錯(cuò)誤的配置:http_access allow auth_user all manager
正確的配置:http_access allow auth_user manager all
8.利用apache攜帶的工具軟件htpasswd在/usr/local/squid/etc下生成密碼文件并添加相應(yīng)的用戶信息。一般說(shuō)來(lái),該密碼文件每行包含一個(gè)用戶的用戶信息,即用
戶名和密碼。
用htpasswd生成密碼文件passwd并添加用戶bye。
htpasswd -c /usr/local/squid/etc/passwd bye
然后重新啟動(dòng)squid,密碼認(rèn)證已經(jīng)生效。
5.2.2 smb用戶認(rèn)證的實(shí)現(xiàn)
國(guó)內(nèi)介紹并使用ncsa實(shí)現(xiàn)用戶認(rèn)證的文章不多,而使用smb_auth和samba實(shí)現(xiàn)基于NT的用戶認(rèn)證我還沒(méi)有看到過(guò),下面我們就來(lái)看一看在squid中實(shí)現(xiàn)基于NT的用戶認(rèn)
證。
當(dāng)前smb_auth的最高版本是smb_auth-0.05,你可以在以下地址下載。當(dāng)然,squid的源代碼包中也包含smb_auth,但是是0.02版的。
http://www.hacom.nl/~richard/software/smb_auth-0.05.tar.gz
smb_auth的主頁(yè)地址是http://www.hacom.nl/~richard/software/smb_auth.html。
1.系統(tǒng)需求:
squid2.0以上版本。
安裝samba2.0.4以上版本。你并不需要運(yùn)行samba服務(wù),因?yàn)閟mb_auth只用到了 samba的客戶端軟件。
2.下載smb_auth-0.05.tar.gz并復(fù)制到/tmp.
3.tar xvzf smb_auth-0.05.tar.gz
4.根據(jù)你的要求修改Makefile中的SAMBAPREFIX和INSTALLBIN參數(shù)。SAMBAPREFIX指定了你的samba安裝路徑,INSTALLBIN指明了smb_auth的安裝路徑。我們指定:
SAMBAPREFIX=/usr,INSTALLBIN=/usr/bin.
5.make
6.make install,成功后會(huì)在INSTALLBIN指定路徑中生成可執(zhí)行文件smb_auth.
7.按下列步驟設(shè)置你要用于認(rèn)證的主域控制器:
首先在NETLOG共享目錄中建立一個(gè)“proxy”文件,該文件只包含一個(gè)“allow”的字符串,一般說(shuō)來(lái),該NETLOG目錄位于winntsystem32Replimportscripts目錄中;
然后,設(shè)置所有你想讓其訪問(wèn)squid的用戶和用戶組擁有對(duì)該文件的讀的權(quán)力。
8.修改squid.conf中的相關(guān)選項(xiàng)如下所示:
authenticate_program /usr/local/squid/bin/smb_auth your_domain_name
9.定義相關(guān)的用戶類(lèi)
acl auth_user proxy_auth REQUIRED
注意,REQUIRED關(guān)鍵字指明了接收所有合法用戶的訪問(wèn)。
10.設(shè)置http_access
http_access allow auth_user
注意,如果你在改行中指定了多個(gè)允許訪問(wèn)的用戶類(lèi)的話,應(yīng)該把要認(rèn)證的用戶類(lèi)放在第一個(gè)。如下所示:
錯(cuò)誤的配置:http_access allow auth_user all manager
正確的配置:http_access allow auth_user manager all
如果一切正確的話,然后重新啟動(dòng)squid,密碼認(rèn)證已經(jīng)生效。
說(shuō)明:smb_auth的調(diào)用方法:
1.smb_auth -W your_domain_name
用your_domain_name指定你的域名。smb_auth將進(jìn)行廣播尋找該主域控制器。
2.smb_auth -W your_domain_name -B
如果你有多個(gè)網(wǎng)絡(luò)接口,可以用-B 指定用于廣播的網(wǎng)絡(luò)接口的ip地址。
3.smb_auth -W your_domain_name -U
也可以用-U直接指定該主域控制器的ip地址。
4.smb_auth -W your_domain_name -S share
可以用-S指定一個(gè)不同于NETLOG的共享目錄。
5.2.3 squid.conf中關(guān)于認(rèn)證的其他設(shè)置
1.authenticate_children
說(shuō)明:設(shè)置認(rèn)證子進(jìn)程的數(shù)目。缺省為5個(gè)。如果你處于一個(gè)繁忙的網(wǎng)絡(luò)環(huán)境中,你可以適當(dāng)增大該值。
2.authenticate_ttl
說(shuō)明:設(shè)置一次認(rèn)證的有效期,缺省是3600秒。
3.proxy_auth_realm
說(shuō)明:設(shè)置用戶登錄認(rèn)證時(shí)向用戶顯示的域名。
5.3透明代理的設(shè)置
關(guān)于透明代理的概念我們已經(jīng)在第一節(jié)將過(guò)了,下面我們看一下怎么樣在squid中實(shí)現(xiàn)透明代理。
透明代理的實(shí)現(xiàn)需要在Linux 2.0.29以上,但是Linux 2.0.30并不支持該功能,好在我們現(xiàn)在使用的通常是2.2.X以上的版本,所以不必?fù)?dān)心這個(gè)問(wèn)題。下面我們就
用ipchains+squid來(lái)實(shí)現(xiàn)透明代理。在開(kāi)始之前需要說(shuō)明的是,目前我們只能實(shí)現(xiàn)支持HTTP的透明代理,但是也不必太擔(dān)心,因?yàn)槲覀冎允褂么?#xff0c;目的是利用squid
的緩存來(lái)提高Web的訪問(wèn)速度,至于提供內(nèi)部非法ip地址的訪問(wèn)及提高網(wǎng)絡(luò)安全性,我們可以用ipchains來(lái)解決。
實(shí)現(xiàn)環(huán)境:RedHat6.x+squid2.2.x+ipchains
5.3.1 linux的相關(guān)配置
確定你的內(nèi)核已經(jīng)配置了以下特性:
[*] Network firewalls
[ ] Socket Filtering
[*] Unix domain sockets
[*] TCP/IP networking
[ ] IP: multicasting
[ ] IP: advanced router
[ ] IP: kernel level autoconfiguration
[*] IP: firewalling
[ ] IP: firewall packet netlink device
[*] IP: always defragment (required for masquerading)
[*] IP: transparent proxy support
如果沒(méi)有,請(qǐng)你重新編譯內(nèi)核。一般在RedHat6.x以上,系統(tǒng)已經(jīng)缺省配置了這些特性。
5.3.2squid的相關(guān)配置選項(xiàng)
設(shè)置squid.conf中的相關(guān)選項(xiàng),如下所示:
http_port 3218
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
說(shuō)明:
1.http_port 3128
在本例中,我們假設(shè)squid的HTTP監(jiān)聽(tīng)端口為3128,即squid缺省設(shè)置值。然后,把所有來(lái)自于客戶端web請(qǐng)求的包(即目標(biāo)端口為80)重定向到3128端口。
2.httpd_accel_host virtual
httpd_accel_port 80
這兩個(gè)選項(xiàng)本來(lái)是用來(lái)定義squid加速模式的。在這里我們用virtual來(lái)指定為虛擬主機(jī)模式。80端口為要加速的請(qǐng)求端口。采用這種模式時(shí),squid就取消了緩存及
ICP功能,假如你需要這些功能,這必須設(shè)置httpd_accel_with_proxy選項(xiàng)。
3.httpd_accel_with_proxy on
該選項(xiàng)在透明代理模式下是必須設(shè)置成on的。
5.2 用戶認(rèn)證設(shè)置
缺省的,squid本身不帶任何認(rèn)證程序,但是我們可以通過(guò)外部認(rèn)證程序來(lái)實(shí)現(xiàn)用戶認(rèn)證。一般說(shuō)來(lái)有以下的認(rèn)證程序:
1.LDAP認(rèn)證:你可以訪問(wèn)以下資源來(lái)獲取更多的有用信息。
http://www.geocities.com/ResearchTriangle/Thinktank/5292/projects/ldap/
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/ldap_auth.tar.gz
2.SMB認(rèn)證:可以實(shí)現(xiàn)基于NT和samba的用戶認(rèn)證。更多的信息請(qǐng)?jiān)L問(wèn)以下資源。
http://www.hacom.nl/~richard/software/smb_auth.html
3.基于mysql的用戶認(rèn)證。
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/mysql_auth.c
4.基于sock5密碼用戶認(rèn)證。
http://nucleo.freeservers.com/
5.基于Radius 的用戶認(rèn)證。
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/auth.pl
但是我們一般常用的是用ncsa實(shí)現(xiàn)的認(rèn)證和用smb_auth實(shí)現(xiàn)的基于NT和samba的用戶認(rèn)證。下面我們就來(lái)講這兩種認(rèn)證方法的具體實(shí)現(xiàn)。
5.2.1 ncsa用戶認(rèn)證的實(shí)現(xiàn)
ncsa是squid源代碼包自帶的認(rèn)證程序之一,下面我們以squid-2.3.STABLE2版本為例講述ncsa的安裝和配置。
1.從www.squid-cache.org下載squid源代碼包squid-2.3.STABLE2-src.tar.gz并放到/tmp目錄下。
2.用tar解開(kāi):
tar xvzf squid-2.3.STABLE2-src.tar.gz
%make
%make install
3.然后,進(jìn)入/tmp/squid-2.3.STABLE2/auth_modules/NCSA目錄。
% make
% make install
編譯成功后,會(huì)生成ncsa_auth的可執(zhí)行文件。
4.拷貝生成的執(zhí)行文件ncsa_auth到/usr/bin目錄
cp ncsa_auth /usr/bin/bin
5.修改squid.conf中的相關(guān)選項(xiàng)如下所示:
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/bin/passwd
6.定義相關(guān)的用戶類(lèi)
acl auth_user proxy_auth REQUIRED
注意,REQUIRED關(guān)鍵字指明了接收所有合法用戶的訪問(wèn)。
7.設(shè)置http_access
http_access allow auth_user
注意,如果你在改行中指定了多個(gè)允許訪問(wèn)的用戶類(lèi)的話,應(yīng)該把要認(rèn)證的用戶類(lèi)放在第一個(gè)。如下所示:
錯(cuò)誤的配置:http_access allow auth_user all manager
正確的配置:http_access allow auth_user manager all
8.利用apache攜帶的工具軟件htpasswd在/usr/local/squid/etc下生成密碼文件并添加相應(yīng)的用戶信息。一般說(shuō)來(lái),該密碼文件每行包含一個(gè)用戶的用戶信息,即用
戶名和密碼。
用htpasswd生成密碼文件passwd并添加用戶bye。
htpasswd -c /usr/local/squid/etc/passwd bye
然后重新啟動(dòng)squid,密碼認(rèn)證已經(jīng)生效。
5.2.2 smb用戶認(rèn)證的實(shí)現(xiàn)
國(guó)內(nèi)介紹并使用ncsa實(shí)現(xiàn)用戶認(rèn)證的文章不多,而使用smb_auth和samba實(shí)現(xiàn)基于NT的用戶認(rèn)證我還沒(méi)有看到過(guò),下面我們就來(lái)看一看在squid中實(shí)現(xiàn)基于NT的用戶認(rèn)
證。
當(dāng)前smb_auth的最高版本是smb_auth-0.05,你可以在以下地址下載。當(dāng)然,squid的源代碼包中也包含smb_auth,但是是0.02版的。
http://www.hacom.nl/~richard/software/smb_auth-0.05.tar.gz
smb_auth的主頁(yè)地址是http://www.hacom.nl/~richard/software/smb_auth.html。
1.系統(tǒng)需求:
squid2.0以上版本。
安裝samba2.0.4以上版本。你并不需要運(yùn)行samba服務(wù),因?yàn)閟mb_auth只用到了 samba的客戶端軟件。
2.下載smb_auth-0.05.tar.gz并復(fù)制到/tmp.
3.tar xvzf smb_auth-0.05.tar.gz
4.根據(jù)你的要求修改Makefile中的SAMBAPREFIX和INSTALLBIN參數(shù)。SAMBAPREFIX指定了你的samba安裝路徑,INSTALLBIN指明了smb_auth的安裝路徑。我們指定:
SAMBAPREFIX=/usr,INSTALLBIN=/usr/bin.
5.make
6.make install,成功后會(huì)在INSTALLBIN指定路徑中生成可執(zhí)行文件smb_auth.
7.按下列步驟設(shè)置你要用于認(rèn)證的主域控制器:
首先在NETLOG共享目錄中建立一個(gè)“proxy”文件,該文件只包含一個(gè)“allow”的字符串,一般說(shuō)來(lái),該NETLOG目錄位于winntsystem32Replimportscripts目錄中;
然后,設(shè)置所有你想讓其訪問(wèn)squid的用戶和用戶組擁有對(duì)該文件的讀的權(quán)力。
8.修改squid.conf中的相關(guān)選項(xiàng)如下所示:
authenticate_program /usr/local/squid/bin/smb_auth your_domain_name
9.定義相關(guān)的用戶類(lèi)
acl auth_user proxy_auth REQUIRED
注意,REQUIRED關(guān)鍵字指明了接收所有合法用戶的訪問(wèn)。
10.設(shè)置http_access
http_access allow auth_user
注意,如果你在改行中指定了多個(gè)允許訪問(wèn)的用戶類(lèi)的話,應(yīng)該把要認(rèn)證的用戶類(lèi)放在第一個(gè)。如下所示:
錯(cuò)誤的配置:http_access allow auth_user all manager
正確的配置:http_access allow auth_user manager all
如果一切正確的話,然后重新啟動(dòng)squid,密碼認(rèn)證已經(jīng)生效。
說(shuō)明:smb_auth的調(diào)用方法:
1.smb_auth -W your_domain_name
用your_domain_name指定你的域名。smb_auth將進(jìn)行廣播尋找該主域控制器。
2.smb_auth -W your_domain_name -B
如果你有多個(gè)網(wǎng)絡(luò)接口,可以用-B 指定用于廣播的網(wǎng)絡(luò)接口的ip地址。
3.smb_auth -W your_domain_name -U
也可以用-U直接指定該主域控制器的ip地址。
4.smb_auth -W your_domain_name -S share
可以用-S指定一個(gè)不同于NETLOG的共享目錄。
5.2.3 squid.conf中關(guān)于認(rèn)證的其他設(shè)置
1.authenticate_children
說(shuō)明:設(shè)置認(rèn)證子進(jìn)程的數(shù)目。缺省為5個(gè)。如果你處于一個(gè)繁忙的網(wǎng)絡(luò)環(huán)境中,你可以適當(dāng)增大該值。
2.authenticate_ttl
說(shuō)明:設(shè)置一次認(rèn)證的有效期,缺省是3600秒。
3.proxy_auth_realm
說(shuō)明:設(shè)置用戶登錄認(rèn)證時(shí)向用戶顯示的域名。
5.3透明代理的設(shè)置
關(guān)于透明代理的概念我們已經(jīng)在第一節(jié)將過(guò)了,下面我們看一下怎么樣在squid中實(shí)現(xiàn)透明代理。
透明代理的實(shí)現(xiàn)需要在Linux 2.0.29以上,但是Linux 2.0.30并不支持該功能,好在我們現(xiàn)在使用的通常是2.2.X以上的版本,所以不必?fù)?dān)心這個(gè)問(wèn)題。下面我們就
用ipchains+squid來(lái)實(shí)現(xiàn)透明代理。在開(kāi)始之前需要說(shuō)明的是,目前我們只能實(shí)現(xiàn)支持HTTP的透明代理,但是也不必太擔(dān)心,因?yàn)槲覀冎允褂么?#xff0c;目的是利用squid
的緩存來(lái)提高Web的訪問(wèn)速度,至于提供內(nèi)部非法ip地址的訪問(wèn)及提高網(wǎng)絡(luò)安全性,我們可以用ipchains來(lái)解決。
實(shí)現(xiàn)環(huán)境:RedHat6.x+squid2.2.x+ipchains
5.3.1 linux的相關(guān)配置
確定你的內(nèi)核已經(jīng)配置了以下特性:
[*] Network firewalls
[ ] Socket Filtering
[*] Unix domain sockets
[*] TCP/IP networking
[ ] IP: multicasting
[ ] IP: advanced router
[ ] IP: kernel level autoconfiguration
[*] IP: firewalling
[ ] IP: firewall packet netlink device
[*] IP: always defragment (required for masquerading)
[*] IP: transparent proxy support
如果沒(méi)有,請(qǐng)你重新編譯內(nèi)核。一般在RedHat6.x以上,系統(tǒng)已經(jīng)缺省配置了這些特性。
5.3.2squid的相關(guān)配置選項(xiàng)
設(shè)置squid.conf中的相關(guān)選項(xiàng),如下所示:
http_port 3218
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
說(shuō)明:
1.http_port 3128
在本例中,我們假設(shè)squid的HTTP監(jiān)聽(tīng)端口為3128,即squid缺省設(shè)置值。然后,把所有來(lái)自于客戶端web請(qǐng)求的包(即目標(biāo)端口為80)重定向到3128端口。
2.httpd_accel_host virtual
httpd_accel_port 80
這兩個(gè)選項(xiàng)本來(lái)是用來(lái)定義squid加速模式的。在這里我們用virtual來(lái)指定為虛擬主機(jī)模式。80端口為要加速的請(qǐng)求端口。采用這種模式時(shí),squid就取消了緩存及
ICP功能,假如你需要這些功能,這必須設(shè)置httpd_accel_with_proxy選項(xiàng)。
3.httpd_accel_with_proxy on
該選項(xiàng)在透明代理模式下是必須設(shè)置成on的。
轉(zhuǎn)載于:https://blog.51cto.com/zhang45xiang/438187
總結(jié)
以上是生活随笔為你收集整理的linux 每日学一点《Linux架设代理服务器(2)》的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 在51aspx收集的农历日期类
- 下一篇: 常见的服务器内存浅析