公司的代理服务器用的是squid,基于IP地址和MAC地址进行权限验证允许部分用户访问Internet。无奈列位高手们早已通晓盗用IP、MAC的方法来绕过squid的限制。近来考虑改为帐号认证。
由于同时在维护一个邮件服务器(qmail + vpopmail + mysql),邮件帐号用mysql管理,内网用户人手一邮箱。为了便于用户记忆,想直接使用邮件帐号和密码作为squid的帐号密码。
程序嘛,比较靠谱的是 mysql_auth ,无奈对c一窍不通,只能借鉴一下它的思路......干脆自己写一个吧。
其他已知资料:
《Squid中文权威指南》 ,第12章有一个perl的例子以及以下文字:
在squid和基本验证器之间的接口非常简单。squid发送用户名和密码到验证器进程,他们以空格分开并以新行结束。验证器在其他stdin里读取用户名和密码。在检查信用项后,验证器将OK或ERR写入stdout。
任何“不安全的URL”字符会参照RFC1738规则进行编码。这样,名字“jack+jill”变成了"jack%2bjill"。squid接受包含 空格的用户名和密码。例如“a password”变成了“a%20password”。在解码用户名和密码后,验证器程序能处理空格和其他的特殊字符。
要点总结:从stdin读取用户名和密码,用户名和密码以空格分隔,可能涉及解码。vpopmail里用户帐号和密码分别 是pw_name和pw_passwd列,建一个表squid,只有一列pw_name,把有权用户的用户名添加到表squid里,用pw_name列关 联两个表查询获得pw_passwd,和用户的输入做比较,一致即验证成功。
PHP代码如下:
| # ! / usr/ bin/ php < ? php ini_set ( "display_errors" , false ) ; function valid( $ u , $ p , $ sql_link ) { $ result = false ; $ res = mysql_query ( "select pw_passwd from squid a, vpopmail b where a.pw_name='$u' and a.pw_name=b.pw_name" , $ sql_link ) ; $ rows = mysql_num_rows ( $ res ) ; if ( 1 = = $ rows ) { $ data = mysql_fetch_object ( $ res ) ; $ passwd = $ data - > pw_passwd; if ( $ passwd = = crypt ( $ p , $ passwd ) ) { $ result = true ; } } return $ result ; } while ( ! feof ( STDIN) ) { $ sql_link = mysql_connect ( "x.x.x.x" , "xxx" , "yyy" ) ; mysql_select_db ( "vpopmail" , $ sql_link ) ; $ input = trim ( fgets ( STDIN) ) ; $ data = explode ( ' ' , $ input ) ; $ username = rawurldecode ( $ data [ 0] ) ; $ password = rawurldecode ( $ data [ 1] ) ; if ( valid( $ username , $ password , $ sql_link ) ) { fwrite ( STDOUT, "OK/n" ) ; } else { fwrite ( STDOUT, "ERR/n" ) ; } mysql_close ( $ sql_link ) ; } ? > |
上述代码保存为/usr/lib/squid/my_auth.php,属性如下:
-rwsr-x--- 1 root squid 843 09-25 15:12 /usr/lib/squid/my_auth.php
squid.conf的相关配置:
acl acl_valid_user proxy_auth REQUIRED
http_access allow acl_valid_user
http_access deny all
auth_param basic program /usr/lib/squid/my_auth.php
auth_param basic children 5
auth_param basic realm 互联网访问权限验证
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on
更进一步:squid基于mysql的用户+ip绑定认证
昨天写的《用php写一个squid验证辅助器(authentication helper)》实现了squid基于mysql的用户帐号认证,今天再进一步修改一下程序,支持基于mysql的用户+ip绑定认证功能。
使用/etc/squid/acl_valid_user.txt存放用户的ip和帐号信息,ip和帐号以空格分隔,帐号与mysql数据表里的用户帐号是一致的,格式如下:
| 192. 168. 1. 100 pangty 192. 168. 1. 200 test |
相应的修改squid.conf,使用ip_user_check来进行帐号与ip的关联检查
| external_acl_type ip_user_check children= 5 % SRC % LOGIN / usr/ lib/ squid/ ip_user_check -f / etc/ squid/ acl_valid_user. txt acl acl_ip_user_check external ip_user_check acl acl_valid_user proxy_auth REQUIRED http_access allow acl_valid_user acl_ip_user_check http_access deny all auth_param basic program / usr/ lib/ squid/ my_auth. php auth_param basic children 5 auth_param basic realm 互联网访问权限验证 auth_param basic credentialsttl 2 hours auth_param basic casesensitive on |
my_auth.php验证辅助程序加入对acl_valid_user.txt的验证,原来在mysql里创建的squid表作废。
# ! / usr/ bin/ php
< ? php
ini_set ( "display_errors" , false ) ;
$ datafile = "/etc/squid/acl_valid_user.txt" ;
function valid( $ u , $ p , $ sql_link ) {
$ result = false ;
$ res = mysql_query ( "select pw_passwd from vpopmail where pw_name='$u'" , $ sql_link ) ;
$ rows = mysql_num_rows ( $ res ) ;
if ( 1 = = $ rows ) {
$ data = mysql_fetch_object ( $ res ) ;
$ passwd = $ data - > pw_passwd;
if ( $ passwd = = crypt ( $ p , $ passwd ) ) {
$ result = true ;
}
}
return $ result ;
}
$ data = file_get_contents ( $ datafile ) ;
$ line = preg_split ( "//n/" , $ data ) ;
foreach ( $ line as $ l ) {
$ l = trim ( $ l ) ;
if ( ! empty ( $ l ) ) {
list ( $ k , $ v ) = preg_split ( "/ +|/s+/" , $ l ) ;
$ userarr [ $ v ] = $ k ;
}
}
while ( ! feof ( STDIN) ) {
$ sql_link = mysql_connect ( "x.x.x.x" , "xxx" , "yyy" ) ;
mysql_select_db ( "vpopmail" , $ sql_link ) ;
$ input = trim ( fgets ( STDIN) ) ;
list ( $ u , $ p ) = split ( " " , $ input ) ;
$ username = rawurldecode ( $ u ) ;
$ password = rawurldecode ( $ p ) ;
if ( array_key_exists ( $ username , $ userarr ) & & valid( $ username , $ password , $ sql_link ) ) {
fwrite ( STDOUT, "OK/n" ) ;
} else {
fwrite ( STDOUT, "ERR/n" ) ;
}
mysql_close ( $ sql_link ) ;
}
? >
http://bbs.chinaunix.net/viewthread.php?tid=1276393
扫一扫
514
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
