在FreeBSD上搭建了一台squid代理服务器,与Windows 2003域实现透明的用户验证。也就是说,客户端如果以域用户登录的话,可以直接通过代理上网浏览;如果非域用户的话,则必须输入域用户密码后方可上网。
网上虽然有这方面的介绍,但可能环境各不相同,所以不一定适用。我也是摸索了好几天才搞成功的,有些地方还是一知半解,将来慢慢研究。先把整个安装配置过程写下来,供需要的人多一种参考。
操作系统是FreeBSD 7.2版。主机名是bsd1.abc.com;Kerberos5和OpenLDAP是必须的;其他好像没什么要求。
Windows域名为abc.com,NetBIOS名是ABC
一、配置Kerberos5
1. Kerberos5的配置文件是/etc/krb5.conf,内容如下:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/lrb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = ABC.COM  # Windows域名,必须大写
# 如果FreeBSD所配置的是Windows域的DNS服务器,下面dns_lookup两项可以设为true,即自动通过DNS查询域控制器等信息;
# 否则设为false,通过后面[realm]段的配置设定域控制器等信息
dns_lookup_realm = false
dns_lookup_kdb = false
[realms]
ABC.COM = {
kdc = dc1.abc.com:88 dc2.abc.com:88   # 域控制器,可以写IP,多个dc之间以空格分开。如果前面的dns_lookup两项参数设为了true,则这个参数就不需要了。
default_domain = ABC.COM # Windows域名,必须大写
}
2. 用kinit验证一下kerberos配置是否成功。顺利的话输入命令得到结果如下:
bsd1# kinit administrator  (验证Windows域管理员administrator用户)
administrator@ABC.COM's Password:  (输入administrator的密码)
kinit: NOTICE: ticket renewable lifetime is 1 week (看见这一行的话,恭喜你,kerberos配置成功了)
二、安装配置Samba
我用的是3.3.4版,从Samba官方网站下载的源码包。——为什么不用FreeBSD自带的?——因为没搞定。
1. 解压源码包,编译安装。很简单,大家都会吧
bsd1# tar zxvf samba-3.3.4.tar.gz
bsd1# cd samba-3.3.4/source
bsd1# ./configure --with-ads --with-winbind  (--with-ads --with-winbind这两个参数是实现与Windows AD验证必须的)
bsd1# make
bsd1# make install
2. Samba安装完成,开始配置samba。FreeBSD下的samba配置文件是/usr/local/samba/lib/smb.conf。内容如下:
[global]
netbios name = BSD1  # 本机在Windows网络中的NetBIOS名
workgroup = ABC   # Windows域的NetBIOS名
realm = ABC.COM   # 域名,与之前krb5.conf中的一致
server string = PROXY SERVER # 机器的说明信息,无关紧要
encrypt passwords = yes
security = ADS   # 使用AD验证
wins server = 192.168.0.10 # WINS服务器地址。根据网上资料,这个参数似乎不是必须的,但我之前一直搞不定,直到加上这条后才成功的。不明白……
password server = dc1.abc.com dc2.abc.com #域控制器,多台之间用空格分开
log level = 3
log file = /var/log/samba/%m.log
max log size = 50
dns proxy = NO
ldap ssl = NO
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = YES # 启用winbind,这样才能实现透明的用户认证
3. Samba配置完成,依次启动nmbd、smbd、winbindd
bsd1# cd /usr/local/samba/sbin
bsd1# ./nmbd -D
bsd1# ./winbindd -D
bsd1# ./smbd -D
4. 将本机加入到Windows域
bsd1# /usr/local/samba/bin/net ads join -U administrator
需要输入administrator密码。如果成功的话就可以在Windows域管理工具中找到bsd1这个计算机帐户了。
在本机中则可用下列命令确认:
bsd1# /usr/local/samba/bin/wbinfo -t
checking the trust secret via RPC calls succeeded (出现这句话就表明加入域成功了)
bsd1# /usr/local/samba/bin/wbinfo -u  (这条命令可以列出域中的用户帐户)
三、安装配置squid
我用的是2.7STABLE6版本,从squid官方网站下载的源码包。
1. 解压源码包,编译安装
bsd1# tar zxvf squid-2.7.STABLE6.tar.gz
bsd1# cd squid-2.7.STABLE6
bsd1# ./configure --enable-auth=basic,ntlm (将basic和ntlm验证模块编译进来)
bsd1# make
bsd1# make install
2. 安装squid完成。squid的初始化配置略(可参阅彭勇华译的《Squid中文权威指南》,我都是照着这个指南做的,除了winbind验证的部分。squid从2.6版起不再带winbind模块了,而是直接使用samba的winbind)。
squid的配置文件是/usr/local/squid/etc/squid.conf,认证相关配置参数如下(其他参数略,请参阅《Squid中文权威指南》):
# 指定使用samba的ntlm验证模块
auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl all src 0/0
acl NTLMUsers proxy_auth REQUIRED # 强制要求用户验证
http_access allow all NTLMUsers  # 通过验证的用户则允许访问
http_access deny all  # 其他的均禁止访问
3. 启动squid
bsd1# /usr/local/squid/sbin/squid
好了,可以用客户端上网试试了。但是,失败。
用户上网就会跳出要求输入用户名密码的对话框,输入了却通不过验证。
检查log发现,是对/usr/local/samba/var/locks/winbindd_privileged没有访问权限,原来这个目录的owner是root,默认权限是750,而squid是以nobody权限运行的。
把权限改为777试试,还是不行,奇怪。改回到750,再把目录的owner改为nobody,然后重启squid。哈哈,这下成功了!
且慢高兴,重启服务器后发现又不行了,winbindd启动不了了,原来还是/usr/local/samba/var/locks/winbindd_privileged权限的问题。winbindd是以root权限启动的,而winbindd_privileged的owner已经改成了nobody。那就把所有者和所属组分别设为root和nobody:
# chown -R root:nobody /usr/local/samba/var/locks/winbindd_privileged
重新启动服务,这下总算好了。

 

楼主的这个里面没有对用户分组,我是做了用户分组,我的问题是:
1:现在客户端ie设置了代理,打开ie上网时需要输入用户名和密码,使用正确的用户和密码可以认证通过;但是客户端的用户是使用域用户登录的客户端机器;
不是透明的,每次用户必须要输入域上的用户和密码验证才能上网;
squid.conf的配置
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 5 hour
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
external_acl_type wingroup %LOGIN /usr/lib/squid/wbinfo_group.pl
acl ntpass external wingroup  wwwjtproxy wwwmjproxy
acl password  proxy_auth REQUIRED
http_access allow  ntpass password

 

 

回复 #2 xjjjk 的帖子

还没试过对用户分组。
你如果不分组的话能够实现透明认证码?要是还不行的话也许问题是在samba/winbind的设置。net ads join的运行成功吗?wbinfo -t能够验证码

 

原帖由 xjjjk 于 2009-6-4 19:36 发表
楼主的这个里面没有对用户分组,我是做了用户分组,我的问题是:
1:现在客户端ie设置了代理,打开ie上网时需要输入用户名和密码,使用正确的用户和密码可以认证通过;但是客户端的用户是使用域用户登录的客户 ...

external_acl_type ldap_group ttl=0 children=50 %LOGIN \
        /usr/local/libexec/squid/squid_ldap_group -b \
        "ou=ABC,dc=abc,dc=com" -f \
        "(&(cn=%a)(member=%v)(objectClass=group))" -F "(|(samAccountName=%s)(cn=%s))" -h \
        192.168.0.53 -D ldap@abc.com -w password -v3 -S
acl Web_LDAP external ldap_group Web_User
http_access allow Web_LDAP
给你参考一下,ldap@abc.com为查询AD的帐号, Web_User组的用户允许访问。squid要是代理模式,透明代理的模式好像不支持,不知道新版的squid是否在透明代理上也支持了,还没试过。我在公司就是这么用的,代理近1000台机器的web访问。