Windows的IIS中有项配置使用集成的Windows验证,在AD的环境中我们可以通过启用集成的Windows验证来使用用户登陆Windows系统的帐号进行认证,在用户访问网页时,IE会将用户的帐号凭据发往服务器自动做认证,不需要用户输入用户名和密码。最好的例子就是用户登陆Outlook Web Access(OWA)。当我们利用Squid做代理服务器需要利用用户身份做认证是,用户每次访问网页,系统会提示用户输入用户名和密码,这样给用户带来很多麻烦,有没有方法集成Windows的帐号做认证呢?通过查找资料,发现实际上在Linux等系统下,利用SQUID集成SAMB同样可以集成windows的认证,用户在通过访问代理服务器时自动利用登陆计算机的帐号做身份验证,对用户完全透明,不需要手动输入用户名及密码。下面是我进行Squid集成Windows帐号认证的总结,希望对有这方面需求的朋友有所帮助,其中有什么不正确及有更好的方法也希望各位给予指点,共同研究进步。

1.实现环境

FreeBSD 5.4 + Squid 2.5 + Samba 3.0 + Krb5

2.软件包安装

Squid、Samba及Krb5均通过Ports安装最新版本。

3.Kerberos配置

Win2003系统默认通过Kerberos做身份验证,Kerberos验证需要安装Krb5软件包。配置文件及测试都很简单。Krb5的配置文件为/etc/krb5.conf,配置如下

 

[logging]

 

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

[libdefaults]

default_realm = TEST.COM (验证域的realm,必须全部大写)

dns_lookup_realm = false

dns_lookup_kdb = false

[realms]

TEST.COM = {

kdc = 192.168.0.1:88  (域控制器名,可以是IP地址)

default_domain = TEST.COM  (缺省域名,同样必须全部大写)

}

配置完成后可以通过Kinit工具进行测试方法如下

 

root#  kinit administrator@TEST.COM

 

Password for administrator@TEST.COM

正确输入密码后系统返回

 

kinit: NOTICE: ticket renewable lifetime is 1 week

 

表示正确验证,如果返回有错误,检查krb5.conf文件设置。

4.Samba配置

通常samba配置文件在/usr/local/etc/smb.conf,编辑smb.conf文件如下

注意,安装Samba是选择Winbind组件

 

[global]

 

        log file = /var/log/samba/log.%m

        dns proxy = No

        idmap gid = 10000-20000

        server string = Samba Server

        idmap uid = 10000-20000

        password server = 192.168.0.1

        workgroup = TEST   (域的NetBios名)

        os level = 20

        encrypt passwords = yes

        security = ads  (设置为AD验证)

        realm = TEST.COM (验证域realm,必须大写)

        winbind use default domain = yes

        max log size = 50

这里需要正确配置你的workgroup、Netbios名、realm,password servers(域控制器,可以有多台)。一旦配置正确,你可以使用net ads join将你的Samba主机加入AD中。输入

 

root# net ads join –U administrator@TEST.COM

 

将主机加入AD。

重新启动samba

/usr/local/etc/rc.d/samba.sh restart

同时winbind也将重新启动。

5.确认Samba主机帐号在AD中正确注册

使用wbinfo –t验证Samba主机已成功加入AD

 

root# wbinfo –t

 

系统返回

checking the trust secret via RPC calls succeeded

说明主机信任已成功建立

使用wbinfo –u 可以列出AD中注册的帐号信息。Wbinfo –g可以返回AD中的组信息。

6.测试ntlm_auth验证

 

root# ntlm_auth –username=administrator

 

Password:**************

NT_STATUS_OK: NT_STATUS_OK (0×0)

说明域帐号administrator已成功验证

7.配制NSS

Nss为Name Service Switch,控制帐号的验证。编辑/etc/nsswitch.conf,如下

 

passwd: files winbind

 

group: files winbind

8.配置Squid

在squid.conf文件中增加

 

auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp

 

auth_param ntlm children 5

auth_param ntlm max_challenge_reuses 0

auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-basic

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 5 hours

acl NTLMUsers proxy_auth REQUIRED

http_access allow all NTLMUsers

配置Squid使用ntlm_auth验证,并允许验证用户通过代理服务器访问。

这里要注意一点,用户要通过验证squid必须能访问winbind pipe,否则用户不能通过Squid验证,我刚配置完成时就是因为这里总是不能通过squid身份验证。修改winbind pipe权限

root# chown -R root:squid /var/db/samba/winbindd_privileged

root#chmod -R 750 /var/db/samba/winbindd_privileged

9.重新启动squid服务器,验证使用域用户身份验证。

如果使用域帐号登陆计算机,那么浏览网页时就不会提示输入用户名及密码认证,非域用户登陆计算机,通过代理访问网站时,IE将弹出用户身份验证窗口要求用户输入用户名及密码验证。

在squid.conf中同样可以设置允许访问的域用户,及不允许访问的域用户。对于windows域用户来说,说有的验证都是透明的。不需要手动输入用户名及密码,方便用户的使用。