代理服務器squid的配置與應用

 

代理服務器的配置與應用

http://LinuxAid.com.cn bye2000

本文版權由linuxAid和作者所有

5.2 用戶認證設置
缺省的，squid本身不帶任何認證程序，但是我們可以通過外部認證程序來實現用戶認證。一般說來有以下的認證程序：

1.LDAP認證：你可以訪問以下資源來獲取更多的有用信息。
http://www.geocities.com/ResearchTriangle/Thinktank/5292/projects/ldap/
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/ldap_auth.tar.gz

2.SMB認證：可以實現基於NT和samba的用戶認證。更多的信息請訪問以下資源。
http://www.hacom.nl/~richard/software/smb_auth.html

3.基於mysql的用戶認證。
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/mysql_auth.c

4.基於sock5密碼用戶認證。
http://nucleo.freeservers.com/

5.基於Radius 的用戶認證。
http://home.iae.nl/users/devet/squid/proxy_auth/contrib/auth.pl

但是我們一般常用的是用ncsa實現的認證和用smb_auth實現的基於NT和samba的用戶認證。下面我們就來講這兩種認證方法的具體實現。

5.2.1 ncsa用戶認證的實現
ncsa是squid源代碼包自帶的認證程序之一，下面我們以squid-2.3.STABLE2版本爲例講述ncsa的安裝和配置。
1.從www.squid-cache.org下載squid源代碼包squid-2.3.STABLE2-src.tar.gz並放到/tmp目錄下。
2.用tar解開：
tar xvzf squid-2.3.STABLE2-src.tar.gz 
%make
%make install
3.然後，進入/tmp/squid-2.3.STABLE2/auth_modules/NCSA目錄。
% make
% make install
編譯成功後，會生成ncsa_auth的可執行文件。
4.拷貝生成的執行文件ncsa_auth到/usr/bin目錄
cp ncsa_auth /usr/bin/bin
5.修改squid.conf中的相關選項如下所示：
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/bin/passwd 
6.定義相關的用戶類
acl auth_user proxy_auth REQUIRED
注意，REQUIRED關鍵字指明瞭接收所有合法用戶的訪問。
7.設置http_access
http_access allow auth_user
注意，如果你在改行中指定了多個允許訪問的用戶類的話，應該把要認證的用戶類放在第一個。如下所示：
錯誤的配置：http_access allow auth_user all manager
正確的配置：http_access allow auth_user manager all
8.利用apache攜帶的工具軟件htpasswd在/usr/local/squid/etc下生成密碼文件並添加相應的用戶信息。一般說來，該密碼文件每行包含一個用戶的用戶信息，即用戶名和密碼。
用htpasswd生成密碼文件passwd並添加用戶bye。
htpasswd -c /usr/local/squid/etc/passwd bye
然後重新啓動squid，密碼認證已經生效。 

5.2.2 smb用戶認證的實現
國內介紹並使用ncsa實現用戶認證的文章不多，而使用smb_auth和samba實現基於NT的用戶認證我還沒有看到過，下面我們就來看一看在squid中實現基於NT的用戶認證。
當前smb_auth的最高版本是smb_auth-0.05，你可以在以下地址下載。當然，squid的源代碼包中也包含smb_auth,但是是0.02版的。
http://www.hacom.nl/~richard/software/smb_auth-0.05.tar.gz
smb_auth的主頁地址是http://www.hacom.nl/~richard/software/smb_auth.html。
1.系統需求：
squid2.0以上版本。
安裝samba2.0.4以上版本。你並不需要運行samba服務，因爲smb_auth只用到了 samba的客戶端軟件。
2.下載smb_auth-0.05.tar.gz並複製到/tmp.
3.tar xvzf smb_auth-0.05.tar.gz
4.根據你的要求修改Makefile中的SAMBAPREFIX和INSTALLBIN參數。SAMBAPREFIX指定了你的samba安裝路徑，INSTALLBIN指明瞭smb_auth的安裝路徑。我們指定：
SAMBAPREFIX=/usr,INSTALLBIN=/usr/bin.
5.make
6.make install,成功後會在INSTALLBIN指定路徑中生成可執行文件smb_auth.
7.按下列步驟設置你要用於認證的主域控制器：
首先在NETLOG共享目錄中建立一個“proxy”文件，該文件只包含一個“allow”的字符串，一般說來，該NETLOG目錄位於/winnt/system32/Repl/import/scripts目錄中；然後，設置所有你想讓其訪問squid的用戶和用戶組擁有對該文件的讀的權力。
8.修改squid.conf中的相關選項如下所示：
authenticate_program /usr/local/squid/bin/smb_auth your_domain_name
9.定義相關的用戶類
acl auth_user proxy_auth REQUIRED
注意，REQUIRED關鍵字指明瞭接收所有合法用戶的訪問。
10.設置http_access
http_access allow auth_user
注意，如果你在改行中指定了多個允許訪問的用戶類的話，應該把要認證的用戶類放在第一個。如下所示：
錯誤的配置：http_access allow auth_user all manager
正確的配置：http_access allow auth_user manager all 
如果一切正確的話，然後重新啓動squid，密碼認證已經生效。
說明：smb_auth的調用方法：
1.smb_auth -W your_domain_name
用your_domain_name指定你的域名。smb_auth將進行廣播尋找該主域控制器。
2.smb_auth -W your_domain_name -B <ip>
如果你有多個網絡接口，可以用-B 指定用於廣播的網絡接口的ip地址。
3.smb_auth -W your_domain_name -U <ip>
也可以用-U直接指定該主域控制器的ip地址。
4.smb_auth -W your_domain_name -S share
可以用-S指定一個不同於NETLOG的共享目錄。

5.2.3squid.conf中關於認證的其他設置
1.authenticate_children
說明：設置認證子進程的數目。缺省爲5個。如果你處於一個繁忙的網絡環境中，你可以適當增大該值。
2.authenticate_ttl
說明：設置一次認證的有效期，缺省是3600秒。
3.proxy_auth_realm
說明：設置用戶登錄認證時向用戶顯示的域名。

5.3透明代理的設置
關於透明代理的概念我們已經在第一節將過了，下面我們看一下怎麼樣在squid中實現透明代理。
透明代理的實現需要在Linux 2.0.29以上，但是Linux 2.0.30並不支持該功能，好在我們現在使用的通常是2.2.X以上的版本，所以不必擔心這個問題。下面我們就用ipchains+squid來實現透明代理。在開始之前需要說明的是,目前我們只能實現支持HTTP的透明代理，但是也不必太擔心，因爲我們之所以使用代理，目的是利用squid的緩存來提高Web的訪問速度，至於提供內部非法ip地址的訪問及提高網絡安全性，我們可以用ipchains來解決。
實現環境：RedHat6.x+squid2.2.x+ipchains
5.3.1 linux的相關配置
確定你的內核已經配置了以下特性：
[*] Network firewalls
[ ] Socket Filtering
[*] Unix domain sockets
[*] TCP/IP networking
[ ] IP: multicasting
[ ] IP: advanced router
[ ] IP: kernel level autoconfiguration
[*] IP: firewalling
[ ] IP: firewall packet netlink device
[*] IP: always defragment (required for masquerading)
[*] IP: transparent proxy support
如果沒有，請你重新編譯內核。一般在RedHat6.x以上，系統已經缺省配置了這些特性。

5.3.2squid的相關配置選項
設置squid.conf中的相關選項，如下所示：
http_port 3218
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
說明：
1.http_port 3128
在本例中，我們假設squid的HTTP監聽端口爲3128,即squid缺省設置值。然後，把所有來自於客戶端web請求的包（即目標端口爲80)重定向到3128端口。
2.httpd_accel_host virtual
httpd_accel_port 80
這兩個選項本來是用來定義squid加速模式的。在這裏我們用virtual來指定爲虛擬主機模式。80端口爲要加速的請求端口。採用這種模式時，squid就取消了緩存及ICP功能，假如你需要這些功能，這必須設置httpd_accel_with_proxy選項。
3.httpd_accel_with_proxy on
該選項在透明代理模式下是必須設置成on的。在該模式下，squid既是web請求的加速器，又是緩存代理服務器。
4.httpd_accel_uses_host_header on
在透明代理模式下，如果你想讓你代理服務器的緩存功能正確工作的話，你必須將該選項設爲on。設爲on時，squid會把存儲的對象加上主機名而不是ip地址作爲索引。這一點在你想建立代理服務器陣列時顯得尤爲重要。

5.3.3 ipchains的相關配置
ipchains在這裏所起的作用是端口重定向。我們可以使用下列語句實現將目標端口爲80端口的TCP包重定向到3128端口。

#接收所有的回送包
/sbin/ipchains -A input -j ACCEPT -i lo
#將目標端口爲80端口的TCP包重定向到3128端口
/sbin/ipchains -A input -p tcp -d 0.0.0.0/0 80 -j REDIRECT 80 

當然在這以前，我們必須用下面的語句打開包轉發功能。
echo 1 > /proc/sys/net/ipv4/ip_forward

第六節 本章小節
在本章的開始，我們討論了代理服務器的概念，代理服務器的分類；然後，我們把注意力集中在squid，講述瞭如何安裝和配置squid；最後我們講了一些squid配置中的高級話題，即實現用戶認證的兩種方法，透明代理的實現等。當然，還有一些高級話題本章沒有講到，如代理陣列的實現，加速模式的運用等等。但是，我們不可能把所有東西都講完講全，希望讀者能舉一反三，自己去摸索，去嘗試。