与Windows AD实现透明验证的squid代理服务器

ahocat

在FreeBSD上搭建了一台squid代理服务器，与Windows 2003域实现透明的用户验证。也就是说，客户端如果以域用户登录的话，可以直接通过代理上网浏览；如果非域用户的话，则必须输入域用户密码后方可上网。
网上虽然有这方面的介绍，但可能环境各不相同，所以不一定适用。我也是摸索了好几天才搞成功的，有些地方还是一知半解，将来慢慢研究。先把整个安装配置过程写下来，供需要的人多一种参考。
操作系统是FreeBSD 7.2版。主机名是bsd1.abc.com；Kerberos5和OpenLDAP是必须的；其他好像没什么要求。
Windows域名为abc.com，NetBIOS名是ABC

一、配置Kerberos5
1. Kerberos5的配置文件是/etc/krb5.conf，内容如下：
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/lrb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = ABC.COM  # Windows域名，必须大写

# 如果FreeBSD所配置的是Windows域的DNS服务器，下面dns_lookup两项可以设为true，即自动通过DNS查询域控制器等信息；
# 否则设为false，通过后面[realm]段的配置设定域控制器等信息
dns_lookup_realm = false
dns_lookup_kdb = false

[realms]
ABC.COM = {
kdc = dc1.abc.com:88 dc2.abc.com:88   # 域控制器，可以写IP，多个dc之间以空格分开。如果前面的dns_lookup两项参数设为了true，则这个参数就不需要了。
default_domain = ABC.COM # Windows域名，必须大写
}

2. 用kinit验证一下kerberos配置是否成功。顺利的话输入命令得到结果如下：
bsd1# kinit administrator  （验证Windows域管理员administrator用户）
administrator@ABC.COM's Password:  （输入administrator的密码）
kinit: NOTICE: ticket renewable lifetime is 1 week （看见这一行的话，恭喜你，kerberos配置成功了）

二、安装配置Samba
我用的是3.3.4版，从Samba官方网站下载的源码包。——为什么不用FreeBSD自带的？——因为没搞定。

1. 解压源码包，编译安装。很简单，大家都会吧
bsd1# tar zxvf samba-3.3.4.tar.gz
bsd1# cd samba-3.3.4/source
bsd1# ./configure --with-ads --with-winbind  （--with-ads --with-winbind这两个参数是实现与Windows AD验证必须的）
bsd1# make
bsd1# make install

2. Samba安装完成，开始配置samba。FreeBSD下的samba配置文件是/usr/local/samba/lib/smb.conf。内容如下：
[global]
netbios name = BSD1  # 本机在Windows网络中的NetBIOS名
workgroup = ABC   # Windows域的NetBIOS名
realm = ABC.COM   # 域名，与之前krb5.conf中的一致
server string = PROXY SERVER # 机器的说明信息，无关紧要
encrypt passwords = yes
security = ADS   # 使用AD验证
wins server = 192.168.0.10 # WINS服务器地址。根据网上资料，这个参数似乎不是必须的，但我之前一直搞不定，直到加上这条后才成功的。不明白……
password server = dc1.abc.com dc2.abc.com #域控制器，多台之间用空格分开
log level = 3
log file = /var/log/samba/%m.log
max log size = 50
dns proxy = NO
ldap ssl = NO
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = YES # 启用winbind，这样才能实现透明的用户认证

3. Samba配置完成，依次启动nmbd、smbd、winbindd
bsd1# cd /usr/local/samba/sbin
bsd1# ./nmbd -D
bsd1# ./winbindd -D
bsd1# ./smbd -D

4. 将本机加入到Windows域
bsd1# /usr/local/samba/bin/net ads join -U administrator
需要输入administrator密码。如果成功的话就可以在Windows域管理工具中找到bsd1这个计算机帐户了。
在本机中则可用下列命令确认：
bsd1# /usr/local/samba/bin/wbinfo -t
checking the trust secret via RPC calls succeeded （出现这句话就表明加入域成功了）
bsd1# /usr/local/samba/bin/wbinfo -u  （这条命令可以列出域中的用户帐户）

三、安装配置squid
我用的是2.7STABLE6版本，从squid官方网站下载的源码包。

1. 解压源码包，编译安装
bsd1# tar zxvf squid-2.7.STABLE6.tar.gz
bsd1# cd squid-2.7.STABLE6
bsd1# ./configure --enable-auth=basic,ntlm （将basic和ntlm验证模块编译进来）
bsd1# make
bsd1# make install

2. 安装squid完成。squid的初始化配置略（可参阅彭勇华译的《Squid中文权威指南》，我都是照着这个指南做的，除了winbind验证的部分。squid从2.6版起不再带winbind模块了，而是直接使用samba的winbind）。
squid的配置文件是/usr/local/squid/etc/squid.conf，认证相关配置参数如下（其他参数略，请参阅《Squid中文权威指南》）：

# 指定使用samba的ntlm验证模块
auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl all src 0/0
acl NTLMUsers proxy_auth REQUIRED # 强制要求用户验证
http_access allow all NTLMUsers  # 通过验证的用户则允许访问
http_access deny all  # 其他的均禁止访问

3. 启动squid
bsd1# /usr/local/squid/sbin/squid
好了，可以用客户端上网试试了。但是，失败。
用户上网就会跳出要求输入用户名密码的对话框，输入了却通不过验证。

检查log发现，是对/usr/local/samba/var/locks/winbindd_privileged没有访问权限，原来这个目录的owner是root，默认权限是750，而squid是以nobody权限运行的。
把权限改为777试试，还是不行，奇怪。改回到750，再把目录的owner改为nobody，然后重启squid。哈哈，这下成功了！
且慢高兴，重启服务器后发现又不行了，winbindd启动不了了，原来还是/usr/local/samba/var/locks/winbindd_privileged权限的问题。winbindd是以root权限启动的，而winbindd_privileged的owner已经改成了nobody。那就把所有者和所属组分别设为root和nobody：
# chown -R root:nobody /usr/local/samba/var/locks/winbindd_privileged

重新启动服务，这下总算好了。

[ 本帖最后由 ahocat 于 2009-11-26 16:39 编辑 ]

ahocat

还没试过对用户分组。
你如果不分组的话能够实现透明认证码？要是还不行的话也许问题是在samba/winbind的设置。net ads join的运行成功吗？wbinfo -t能够验证码？

ahocat

原帖由 signmem 于 2009-6-11 21:57 发表
这个问题是,  windows 电脑能够通过,  LINUX 电脑的 FIREFOX 无法通过...  

请问用 Linux 测试过吗? 我的 windows 没有问题,但 Linux 不可以

linux没试过，OpenSolaris+FireFox是可以的（这个回帖就是用它发的），我想LINUX没理由不行吧？

输入的用户名前面需要加上域名，就像这样： domain\username

ahocat

加入域的这句命令中，把用户名后的域名后缀“@cetr.net”去掉，即：
cache:~# net ads join -U administrator

ahocat

必须指向Windows域中DC的DNS
另外，smb.conf中加上wins server，域中也要启用wins服务，DC要注册到wins。

[ 本帖最后由 ahocat 于 2009-6-28 09:44 编辑 ]

ahocat

光能ping到DC不一定正确，加入域必须要能解析到你这个cetr.net域的SRV记录

ahocat

这里只看到DNS的主机(A)记录。
检查一下DNS服务器，cetr.net域下面有没有_msdcs这样的目录，这个目录下面应该包含有你域中DC，ldap,kerboros，site等很多信息

[ 本帖最后由 ahocat 于 2009-6-29 13:44 编辑 ]

ahocat

看一下log.winbindd和cache.log

ahocat

原帖由 aleng 于 2009-7-13 18:34 发表



不需要掏钱，
1 你的域控win server 是买的么？是，那么 用这个软件和序号再装一台即可。
2 你的你的域控win server 是白来的 :wink: 那么  用这个软件和序号再装一台即可。

win 包含了krb5，和活动 ...

不是所有的公司都允许用盗版软件的（包括只买了一个license装在好多台机器上这样的行为），我们公司就不行，因为每年都有外部机构的审查，软件license是首当其冲的。

ahocat

原帖由 yoqao_lee 于 2009-9-24 18:50 发表
我也是用这种方式的，已稳定远行一年了，所有加入域用户不需要输入用户名和密码可以直接上网，但是，非域用户上网时就需要输入用户名和密码了，但是输入的用户名需要以“doman\user”,这种方式输才能通过难证， ...

似乎编译的时候--enable-auth参数只启用ntlm，不启用basic就可以了，至少我现在就是这样的，用户名前不需要加域名了。