linux下实现针对windows域身份认证的代理服务器3 - 运维管理

2. 用户访问控制列表的设置

#将AD中的internet全局组映射到ProxyUsers
2

acl ProxyUsers external NT_global_group internet
3

#将AD中的nolimitedinternet全局组映射到noLimited
4

acl NoLimited external NT_global_group nolimitedinternet
5

#此句保证了所有用户必须经过身份验证
6

acl AuthenticatedUsers proxy_auth REQUIRED
7

#定义不允许下载的文件类型
8

acl InvalidFiles urlpath_regex -i \.mp3$ \.avi$ \.rmvb$ \.mpg$ \.rm$ \.wma$ \.wmv$ \.scr$ \.exe$ \.ocx$ \.dll$ \.com$
9

#定义不允许访问的域名及IP地址，其存放于文件“denyDomain.list”与“denyIP.list”中
10

acl denyDomain dstdomain "/etc/squid/denyDomain.list"
11

acl denyIP dst "/etc/squid/denyIP.list"
12

#允许NoLimited用户访问任意Internet资源
14

http_access allow AuthenticatedUsers NoLimited
15

http_access deny denyDomain
16

http_access deny denyIP
17

http_access deny InvalidFiles
18

#禁止用户访问denyDomain.list以及denyIP.list中的域名及IP地址，并禁止下载InvalidFiles指定的文件类型
20

http_access allow AuthenticatedUsers ProxyUsers
21

acl all src 0.0.0.0/0.0.0.0
22

acl manager proto cache_object
23

acl localhost src 127.0.0.1/255.255.255.255
24

acl to_localhost dst 127.0.0.0/8
25

acl SSL_ports port 443
26

acl Safe_ports port 80 # http
27

acl Safe_ports port 21 # ftp
28

acl Safe_ports port 443 # https
29

acl Safe_ports port 70 # gopher
30

acl Safe_ports port 210 # wais
31

acl Safe_ports port 1025-65535 # unregistered ports
32

acl Safe_ports port 280 # http-mgmt
33

acl Safe_ports port 488 # gss-http
34

acl Safe_ports port 591 # filemaker
35

acl Safe_ports port 777 # multiling http
36

acl CONNECT method CONNECT

　　请注意此配置中的两条语句的位置。第一条“http_access allow AuthenticatedUsers NoLimited”，第二条“http_access allow AuthenticatedUsers ProxyUsers”，此两条语句都是将权限应用到用户组，但不同的是位置，在Squid的ACL配置语句中，先后顺序决定了其权限的不同。大家一定要多注意，细细去揣摩。

VIII. 更改winbind管道的权限

　　一定不能忘记这一点，没有winbind管道的足够的权限，系统是没办法对用户的身份进行验证的。其命令如下：

[root@proxy ~]# chown –R root:squid /var/cache/samba/winbindd_privileged

[root@proxy ~]# chmod –R 750 /var/cache/samba/winbindd_privileged

IX. 重启所有相关服务

　　命令如下：

[root@proxy ~]# service smb restart

[root@proxy ~]# service winbind restart

[root@proxy ~]# service squid restart

　　到此为止，我们已经成功地完成了squid代理服务器的配置。接下来，我们还需要给予IT管理员查看并监督用户访问Internet行为的能力。

X. Sarg的安装与配置

　　为了简单起见，我们直接下载二进制的安装包，执行下列命令获得二进制安装包：

[root@proxy ~]# http://dag.wieers.com/rpm/packages/sarg/sarg-2.2.1-1.el5.rf.i386.rpm

　　安装当然更简单了啦，没什么好说的，执行下列命令即可：

[root@proxy ~]# rpm –Uvh sarg-2.2.1-1.el5.rf.i386.rpm

　　安装完后，重新启动一下Apache服务器当然是再好不过了。

linux下实现针对windows域身份认证的代理服务器3
2007-08-07 中国IT实验室

延伸阅读

热文

linux下实现针对windows域身份认证的代理服务器3 2007-08-07 中国IT实验室

延伸阅读

热文

linux下实现针对windows域身份认证的代理服务器3
2007-08-07 中国IT实验室