Squid gyakran ismételt kérdések (GYIK) autentifikatsiya
Megjegyzés: Az itt közölt információk a jelenlegi verzió a 2.4.
A felhasználók által hitelesített ha tintahal használatára van beállítva az ACL típusát proxy_auth (cm. Mark. Kérdés).
A böngésző elküldi a felhasználó hitelesítési kérelmet zaglovke engedélyezése.
Amikor Squid megkapja a kérést, és http_access szabályokkal, ha a lista tartalmazza a típusú ACL proxy_auth. Squid keres zaglovok engedélyezése. Ha a fejléc van jelen, tintahal dekódolja, és kivonja a felhasználó nevét és jelszavát.
Ha a fejléc hiányzik, Squid vissza egy HTTP-válasz a status 407 (Proxy hitelesítés szükséges). Felhasználói ügynök (böngésző) megkapja a választ 407, és kéri a felhasználót, hogy adjon meg egy felhasználói nevet és jelszót. Név és jelszó kódolva van, és elküldte az engedélyezési fejléc követően kéri a proxy.
Authentication valóban bekövetkezik kívül a fő folyamat Squid. Amikor Squid elindul, zapuskaetsya több hitelesítési eljárások. Ezek a folyamatok olvasni a felhasználóneveket és jelszavakat a standard input és output „OK” vagy „ERR” a szabványos kimenetre. Ez a technika lehetővé teszi, hogy a legkülönbözőbb hitelesítési rendszereket, de akkor csak az egyik használható program egy időben.
Squid forráskód jön többféle hitelesítési eljárások. többek között:- LDAP: használ Lightweight Directory Access Protocol
- NCSA: használja az NCSA-stílusú felhasználói név és a jelszó fájl.
- MSNT: a Windows NT hitelesítés tartományban.
- PAM: használja a Linux Pluggable Authentication Modules rendszert.
- SMB: használat SMB-északi típusú Windows NT vagy Samba.
- getpwam: használja a régimódi régimódi Unix jelszó fájlt.
A felhasználói hitelesítés, meg kell építeni és telepíteni az egyik rendelkezésre álló hitelesítési modulok, meg egy másik. vagy a saját.
Meg kell adni a Squid, amely használja a hitelesítést használó program authenticate_program opció squid.conf. Meg kell adni a program nevét, valamint egy parancssori ha neobhodimo.K példa:
Győződjön meg arról, hogy a hitelesítés telepített és megfelelően működik. Meg lehet próbálni a kezét.
Adjunk hozzá néhány proxy_auth ACL a konfigurációs fájlban. Például: A leírásban .Ennek jelenti, hogy minden felhasználó kap autenentifitsirovany az ACL ize nevű.
Squid nyújt Önnek jól felépített szabályozás által meghatározott egyedi felhasználói nevét. Például: Ebben a példában a felhasználó Lisa, Sarah, joe, őszinte, és lehetővé tette, hogy a proxy bármikor. A felhasználó számára engedélyezett a hozzáférés csak a nap folyamán.
Igen. Sikeres hitelesítési kérelmek cache egy órán alapértelmezés szerint. Ez azt jelenti (a legrosszabb esetben), lehetséges, hogy valaki használja a készpénz egy órán belül, miután kivettük a hitelesítő adatbázist.
Beállítható az idő lejártát jelszó lejárati segítségével authenticate_ttl opciót.
Squid kiosztja jelszavak egyszerű szövegként a memóriában.
Squid küld tiszta szöveget felhasználói nevet és jelszót, amikor kommunikál a külső hitelesítési folyamat. Megjegyzendő azonban, hogy ezek a folyamatok közötti kommunikációt jelentkezik TCP-kapcsolatok kötve egy visszacsatolási felületen. Ezért nem lehetséges más folyamatok kompyuretov „levadászni” a hitelesítési forgalmat.
Minden hitelesítési programot kell választani a saját rendszere tartós tárolására jelszavakat és felhasználói neveket.
Winbind - az új mellett a Samba, amely néhány lenyűgöző képességekkel felhasználói fiókok alapján NT. Squid winbind helyes és hatékony megoldás az alapszintű és NTLM / válasz hitelesítés ellen NT tartományhoz.
Samba szükséges verzióját 2.2.4 vagy magasabb. Samba 2.2.4, 2.2.5 és 3.0a17 tudnak dolgozni winbind hitelesítő a Squid 2.5.
Keresztüli azonosítás winbind sikeresen fut Linux, FreeBSD és Solaris.
A Samba konfigurálása
Samba dolbzhna összeállítandó opciókkal konfigurálhatja:
Adott esetben a szerelvény Samba 2.2.5, akkor lehet alkalmazni a tapaszt smbpasswd.diff Lásd. Az alábbiakban smbd és Machine Trust számlák. annak megállapítására, hogy szükség van a javítás.
Tesztelés Samba winbindd- Szerkessze smb.conf, hogy winbindd szerzett. Mint egy sablont a [global] szakaszban smbd.conf fájlt, akkor használja a következő.
- Írja be az NT tartomány leírt kézikönyv (man) által winbindd számítógépen futó Samba.
- Tesztelés funtsionalnost winbindd.
- Indítsuk el a nmbd (szükséges meggyőződni arról, hogy minden megfelelően működik).
- Kezdés winbindd.
- Ellenőrizze a teljes funkcionalitás winbindd a „wbinfo -t”:
- Ellenőrizze a felhasználó hitelesítés révén winbindd:
Smbd és Machine Trust számlák
Azonban, ha a segítő winbind Squid csak az egyik összetevője futó Samba, smbd is tétlen. Valóban, nem lehet más oka smbd fut.
UglySolution.pl - egy egyszerű perl script betölteni smbd, podsoedenitsya a Samba-smbclient segítségével és sgenirirovat elég dummy tevékenység indítására smbd jelszómódosítási bizalom gépek.
Miután bélés javítás, jelszó módosítása smbpasswd szintaxis így néz ki:
konfigurálása Squid
Squid építeni kell az opciókkal konfigurálhatja:
Test Squid hitelesítés nélkül
Vizsgálat a winbind ntlm helper nem lehetséges a parancssorból, de a winbind alap Hitelesítőről lehet tesztelni, mint bármely más alapvető helper: A segítő vissza kell térnie az „OK”, ha az adott érvényes felhasználónév / jelszó.
Tegyük hozzá a következő engedélyezéséhez és Winbind alapanyagok és ntlm authenticators. IE fogja használni a többi ntlm alap:Teszt Tintahal hitelesítés
Ellenőrizze a működtetés tintahal IE. Ha bejelentkezett a domain, a jelszó ablak nem jelenik meg.
Ellenőrizze a munka más böngészőkben. A szabvány a jelszót kérő párbeszédablak jelenik meg.
Ha nincs felhasználói neve access.log és / vagy jelszó nem kérést a böngésző, akkor az ACL / http_access a squid.conf nem megfelelő.