Показаны различия между двумя версиями страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
squid_ad [2014/03/20 17:26] metallic [Введение] |
squid_ad [2015/07/17 18:18] metallic [Ссылки] |
||
---|---|---|---|
Строка 7: | Строка 7: | ||
Имеем: домен под управлением Windows Server 2012, прокси-сервер Debian 7, Squid 3.1 | Имеем: домен под управлением Windows Server 2012, прокси-сервер Debian 7, Squid 3.1 | ||
+ | Вообще для решения подобной задачи существует как минимум два метода: | ||
====== Настройка ====== | ====== Настройка ====== | ||
+ | |||
+ | 1. Подключаем прокси-сервер к домену Active Directory, как это сделать [[samba_ad|описано тут]], после настройки и тестирования samba можно остановить, | ||
+ | |||
+ | 2. Ставим на прокси-сервере необходимое ПО: | ||
+ | |||
+ | # apt-get install squid3 | ||
+ | |||
+ | 3. Тестируем различные варианты авторизации: | ||
+ | |||
+ | # wbinfo -a user%password | ||
+ | plaintext password authentication succeeded | ||
+ | challenge/ | ||
+ | | ||
+ | # ntlm_auth --helper-protocol=squid-2.5-basic | ||
+ | user password | ||
+ | OK | ||
+ | | ||
+ | # ntlm_auth --username=user --nt-response | ||
+ | password: | ||
+ | NT_STATUS_OK: | ||
+ | |||
+ | Если все ОК, значит система может авторизоваться в домене. | ||
+ | |||
+ | 4. Добавляем пользователя proxy в группу winbindd_priv для того чтобы у него был доступ в / | ||
+ | |||
+ | # usermod -a -G winbindd_priv proxy | ||
+ | |||
+ | 5. Правим конфиг прокси / | ||
+ | |||
+ | http_port 192.168.0.1: | ||
+ | cache_access_log / | ||
+ | | ||
+ | acl localhost src 127.0.0.1/ | ||
+ | | ||
+ | acl god_mode src 10.0.0.0/16 | ||
+ | | ||
+ | acl SSL_ports port 443 | ||
+ | acl Safe_ports port 80 # http | ||
+ | acl Safe_ports port 21 # ftp | ||
+ | acl Safe_ports port 443 # https | ||
+ | acl Safe_ports port 70 # gopher | ||
+ | acl Safe_ports port 210 # wais | ||
+ | acl Safe_ports port 1025-65535 | ||
+ | acl Safe_ports port 280 # http-mgmt | ||
+ | acl Safe_ports port 488 # gss-http | ||
+ | acl Safe_ports port 591 # filemaker | ||
+ | acl Safe_ports port 777 # multiling http | ||
+ | | ||
+ | # NTLM | ||
+ | auth_param ntlm program / | ||
+ | auth_param ntlm children 5 | ||
+ | | ||
+ | acl AuthorizedUsers proxy_auth REQUIRED | ||
+ | | ||
+ | http_access allow localhost | ||
+ | http_access deny !Safe_ports | ||
+ | http_access allow all AuthorizedUsers | ||
+ | http_access deny all | ||
+ | | ||
+ | icp_access deny all | ||
+ | cache_mgr admin@domain.ru | ||
+ | visible_hostname PROXY | ||
+ | |||
+ | Перезапускаем прокси и пытаемся подключиться с клиента, | ||
+ | |||
+ | ... | ||
+ | # NTLM | ||
+ | auth_param ntlm program / | ||
+ | ... | ||
+ | | ||
+ | Также, если есть клиенты, | ||
+ | |||
+ | auth_param basic program / | ||
+ | auth_param basic children 5 | ||
+ | auth_param basic realm Corp Web Proxy | ||
+ | auth_param basic credentialsttl 2 hours | ||
+ | |||
+ | Все. | ||
+ | |||
+ | ====== Ссылки ====== | ||
+ | |||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | |||
+ | Также в случае использования Lightsquid. | ||
+ | [[http:// | ||
+ |