Томко Дмитрий
Аутентификация пользователей прокси-сервера Squid (Linux) через NDS
Не всегда использование BorderManager в вашей организации подходит для вас и приемлемо. Использование Linux-серверов с прокси-сервером Squid позволяет значительно уменьшить затраты на Internet-инфраструктуру для организаций, реализовать расширенные возможности (прозрачное проксирование, ограничение трафика, поддержка WCCP и т.д. – данные функции либо не реализованы в BM либо их реализация не на должном уровне). Однако при реализованном дереве NDS стоит вопрос авторизации на прокси через одну базу пользователей и данная проблема решается довольно легко с помощью продукта NDS Corporate Edition (на данный момент Novell Account Management), возможно использование для этих целей NDS eDirectory, но в данном документе это не описывается. Вся инсталляция занимает не более получаса. Шаги инсталляции:
Установка NDS Corporate Edition ( можно инсталлировать только модули UAM, без перехода на новый NDS). Вас попросят данные о дереве, контексте и т.д. Это самый главный шаг в инсталляции.
Скачать модуль pam – авторизации для Squid (например с
http://squid.sourceforge.net/hno/software.html#PAM) или использовать тот, что идет с вашим прокси-серовером и скомпилировать его.
Сконфигурировать squid.conf :
authenticate_program _path_to_compiled_pam_authenticator_
и добавить в него строчки для аутентификации пользователей (если вы еще не добавили), например:
acl foo proxy_auth REQUIRED
http_access allow foo
Сконфигурировать pam- модули (пример для RedHat 6.2, для вашего дистрибутива может быть немного по-другому). Создать файл /etc/pam.d/squid например следующего содержания:
auth sufficient /lib/security/pam_nds.so.0
account sufficient /lib/security/pam_nds.so.0
password sufficient /lib/security/pam_nds.so.0
session sufficient /lib/security/pam_nds.so.0
И в общем все уже должно работать.
Небольшое примечание – главное правильно сконфигурировать настройки на первом шаге – при неудаче проверьте правильную настройку фалов nsswitch.conf, nds.conf. Это первая версия данного документа и, возможно, она содержит небольшие опечатки и неточности.
Email –
dtomko@iba.com.by