SQUID的ncsa_auth认证原理

wxxszzz

前天看了一下ncsa_auth认证程序的源码，发现这个认证其实是非常简单的。
squid启动时运行ncsa_auth passwd密码文件

如果你的认证用户不是很多的话，写个sh就可以解决问题了
ncsa_auth.sh

内容如下
#认证用户名为abc密码123

1. 
   
2. while true ; do
   
3. read a
   
4. user=`echo a| /usr/bin/cut -d ' ' -f1`
   
5. pass=`echo a|/usr/bin/cut -d ' ' -f2`
   
6. if [ "$user" == "abc" ] ; then
   
7.          if [ "$pass" == "123" ] ; then
   
8.                     echo OK;
   
9.         else
   
10.                     echo ERR;
    
11.         fi
    
12. else
    
13.          echo ERR
    
14.   fi
    
15. done
    
16. #结束
    
17. 
    
18. 呵呵，如果你的认证不是很频繁的话。但是你希望与你的数据库认证集成在一起的话
    
19. 你也可以用php连结数据库达到这个目的
    
20. 在ncsa_auth.sh里的内容应该如下:
    
21. /usr/local/bin/php /usr/local/etc/ncsa_auth.php
    
22. 
    
23. 在ncsa_auth.php内容
    
24. <?php
    
25. 
    
26. $fd = fopen('php://stdin', 'r');
    
27. while(true){
    
28.         $buffer = fgets($fd, 4096);
    
29.         $lsstr=explode(' ',$buffer);
    
30.         $sql_str="select user from bbs_user where userid like '$lsstr[0]' and pass like '$lsstr[1]'";
    
31.         #如果用户名与密码正确的话
    
32.          if(true) echo 'OK';
    
33.          else echo 'ERR';
    
34. }
    
35. ?>;
    

复制代码

抛砖引玉，希望大家在用squid认证能够有所启发，当然如果你觉得效率低下的话就使用C，直接修改squid自带的ncsa_auth.c加了数据库查询语句就行了。

ljily000

顶！
Good！

段誉

顶上来，大家都了解一下。

BTW：请大家多多关注我们这个板子，多推荐好帖子，增加我们这个板子的精华数量。谢谢！！

shitian8848

正在弄squid的认证呢，呵呵，谢谢楼主了。
UP!

platinum

请教一下楼主

1. 
   
2. while true ; do
   
3. read a
   
4. user=`echo a| /usr/bin/cut -d ' ' -f1`
   
5. pass=`echo a|/usr/bin/cut -d ' ' -f2`
   
6. if [ "$user" == "abc" ] ; then
   
7.         if [ "$pass" == "123" ] ; then
   
8.                    echo OK;
   
9.        else
   
10.                    echo ERR;
    
11.        fi
    
12. else
    
13.         echo ERR
    
14. fi
    
15. done
    
16. #结束
    

复制代码

这个shell用于哪里？
好像和squid认证无关啊～
另外，ncsa的密码是MD5后的，而楼主这个shell是明码

我只是想知道，这个shell是做什么的呢？

60133056

观望 学习

wingger

原帖由 "platinum" 发表：
这个shell用于哪里？
好像和squid认证无关啊～
另外，ncsa的密码是MD5后的，而楼主这个shell是明码

我只是想知道，这个shell是做什么的呢？

我也想知道，是用这个来代替ncsa吗？
还是解剖他的原理？

wxxszzz

看了上面大家的回贴，我就再解释一下吧。

我们使用htpasswd产生的那个密码文件里的密码是用MD5加密的。

但是squid传递给ncsa_auth认证程序的密码使用的是明码，
然后由ncsa_auth认证程序再用md5加密传给他的密码后
再与用htpasswd产生的那个密码文件里的密码相比较。
如果符合就认为密码正确。

另外以上的sh与使用php密码认证的程序。
就是接到squid的密码后，不使用md5加密接收到的密码，直接比较，

以上的两个程序
他们都是可以直接替代ncsa_auth这个认证程序的。

OK，如果还有疑问，可以再提问，不过我觉得SQUID他这样的认证是比较合理的。现时也比较直接明了，

设想一下，如果你的认证用户非常多，如有1000人以上同时认证，我们可以简单的使用上面的高级语言如C、php、perl、java等语言，只要他的代码里支持套接字sockets接口你就可以设计一个集中式的认证系统。

以PHP举例:

代码如顶搂的语言里只是稍微修改一下。

1. 
   
2. 在ncsa_auth.php内容
   
3. <?php
   
4. 
   
5. $fd = fopen('php://stdin', 'r');
   
6. while(true){
   
7.        $buffer = fgets($fd, 4096);
   
8.        $lsstr=explode(' ',$buffer);
   
9. #这里使用套接字把用户名与密码发送到后台认证中心去
   
10.      $sfd=fscoket("x.x.x.x",)
    
11.        write      
    
12.        read
    
13.        fclose($sfd);
    
14. }
    
15. fclose($fd);
    
16. ?>;
    

复制代码

这里之后，一个比较好的认证中心这可以产生了。之所以选用PHP认证，是因为这段时间用PHP比较多。
这样之后，你就可以使用多台SQUID，多台认证中心，一个中央数据库。

呵呵，不知道各位看过我的解释与说明之后，是不是有所启发呢？
没有做不到，只有想不到的事情。

platinum

这个是ncsa_auth.c的源代码

1. 
   
2. /*
   
3. * ncsa_auth.c
   
4. *
   
5. * AUTHOR: Arjan de Vet <Arjan.deVet@adv.iae.nl>;
   
6. *
   
7. * Example authentication program for Squid, based on the original
   
8. * proxy_auth code from client_side.c, written by
   
9. * Jon Thackray <jrmt@uk.gdscorp.com>;.
   
10. *
    
11. * Uses a NCSA httpd style password file for authentication with the
    
12. * following improvements suggested by various people:
    
13. *
    
14. * - comment lines are possible and should start with a '#';
    
15. * - empty or blank lines are possible;
    
16. * - extra fields in the password file are ignored; this makes it
    
17. *   possible to use a Unix password file but I do not recommend that.
    
18. *
    
19. */
    
20. 
    
21. #include "config.h"
    
22. #if HAVE_STDIO_H
    
23. #include <stdio.h>;
    
24. #endif
    
25. #if HAVE_STDLIB_H
    
26. #include <stdlib.h>;
    
27. #endif
    
28. #if HAVE_UNISTD_H
    
29. #include <unistd.h>;
    
30. #endif
    
31. #if HAVE_STRING_H
    
32. #include <string.h>;
    
33. #endif
    
34. #if HAVE_SYS_TYPES_H
    
35. #include <sys/types.h>;
    
36. #endif
    
37. #if HAVE_SYS_STAT_H
    
38. #include <sys/stat.h>;
    
39. #endif
    
40. #if HAVE_CRYPT_H
    
41. #include <crypt.h>;
    
42. #endif
    
43. 
    
44. #include "util.h"
    
45. #include "hash.h"
    
46. 
    
47. static hash_table *hash = NULL;
    
48. static HASHFREE my_free;
    
49. 
    
50. typedef struct _user_data {
    
51.     /* first two items must be same as hash_link */
    
52.     char *user;
    
53.     struct _user_data *next;
    
54.     char *passwd;
    
55. } user_data;
    
56. 
    
57. static void
    
58. my_free(void *p)
    
59. {
    
60.     user_data *u = p;
    
61.     xfree(u->;user);
    
62.     xfree(u->;passwd);
    
63.     xfree(u);
    
64. }
    
65. 
    
66. static void
    
67. read_passwd_file(const char *passwdfile)
    
68. {
    
69.     FILE *f;
    
70.     char buf[8192];
    
71.     user_data *u;
    
72.     char *user;
    
73.     char *passwd;
    
74.     if (hash != NULL) {
    
75.         hashFreeItems(hash, my_free);
    
76.     }
    
77.     /* initial setup */
    
78.     hash = hash_create((HASHCMP *) strcmp, 7921, hash_string);
    
79.     if (NULL == hash) {
    
80.         fprintf(stderr, "ncsa_auth: cannot create hash table\n");
    
81.         exit(1);
    
82.     }
    
83.     f = fopen(passwdfile, "r");
    
84.     if (NULL == f) {
    
85.         fprintf(stderr, "%s: %s\n", passwdfile, xstrerror());
    
86.         exit(1);
    
87.     }
    
88.     while (fgets(buf, 8192, f) != NULL) {
    
89.         if ((buf[0] == '#') || (buf[0] == ' ') || (buf[0] == '\t') ||
    
90.             (buf[0] == '\n'))
    
91.             continue;
    
92.         user = strtok(buf, ":\n\r");
    
93.         passwd = strtok(NULL, ":\n\r");
    
94.         if ((strlen(user) >; 0)  & passwd) {
    
95.             u = xmalloc(sizeof(*u));
    
96.             u->;user = xstrdup(user);
    
97.             u->;passwd = xstrdup(passwd);
    
98.             hash_join(hash, (hash_link *) u);
    
99.         }
    
100.     }
     
101.     fclose(f);
     
102. }
     
103. 
     
104. int
     
105. main(int argc, char **argv)
     
106. {
     
107.     struct stat sb;
     
108.     time_t change_time = 0;
     
109.     char buf[256];
     
110.     char *user, *passwd, *p;
     
111.     user_data *u;
     
112.     setbuf(stdout, NULL);
     
113.     if (argc != 2) {
     
114.         fprintf(stderr, "Usage: ncsa_auth <passwordfile>;\n");
     
115.         exit(1);
     
116.     }
     
117.     while (fgets(buf, 256, stdin) != NULL) {
     
118.         if ((p = strchr(buf, '\n')) != NULL)
     
119.             *p = '\0';          /* strip \n */
     
120.         if (stat(argv[1],  sb) == 0) {
     
121.             if (sb.st_mtime != change_time) {
     
122.                 read_passwd_file(argv[1]);
     
123.                 change_time = sb.st_mtime;
     
124.             }
     
125.         }
     
126.         if ((user = strtok(buf, " ")) == NULL) {
     
127.             printf("ERR\n");
     
128.             continue;
     
129.         }
     
130.         if ((passwd = strtok(NULL, "")) == NULL) {
     
131.             printf("ERR\n");
     
132.             continue;
     
133.         }
     
134.         rfc1738_unescape(user);
     
135.         rfc1738_unescape(passwd);
     
136.         u = hash_lookup(hash, user);
     
137.         if (u == NULL) {
     
138.             printf("ERR\n");
     
139.         } else if (strcmp(u->;passwd, (char *) crypt(passwd, u->;passwd))) {
     
140.             printf("ERR\n");
     
141.         } else {
     
142.             printf("OK\n");
     
143.         }
     
144.     }
     
145.     exit(0);
     
146. }
     

复制代码

看了一下，关键问题是在这里

1. 
   
2.         if ((user = strtok(buf, " ")) == NULL) {
   
3.             printf("ERR\n");
   
4.             continue;
   
5.         }
   
6.         if ((passwd = strtok(NULL, "")) == NULL) {
   
7.             printf("ERR\n");
   
8.             continue;
   
9.         }
   
10.         rfc1738_unescape(user);
    
11.         rfc1738_unescape(passwd);
    
12.         u = hash_lookup(hash, user);
    
13.         if (u == NULL) {
    
14.             printf("ERR\n");
    
15.         } else if (strcmp(u->;passwd, (char *) crypt(passwd, u->;passwd))) {
    
16.             printf("ERR\n");
    
17.         } else {
    
18.             printf("OK\n");
    
19.         }
    

复制代码

如果用ncsa_auth.php来做“认证中心”，squid又怎么去调用呢？

wxxszzz

你没仔细看我项楼的贴子啊.

我写得使用PHP认证是
squid先调用的是ncsa_auth.sh这个文件
也就是在squid.conf这个配置文件写的认证程序为ncsa_auth.sh

而这个ncsa_auth.sh文件的内容就是调用php去执行ncsa_auth.php
ncsa_auth.sh这个文件的内容如下:

1. 
   
2. /usr/local/bin/php /usr/local/squid/etc/ncsa_auth.php
   

复制代码

#end
由这个ncsa_auth.sh来调用ncsa_auth.php
这样就可以了啊.
然后再在ncsa_auth.php
里面获得squid传递的用户名与密码.

你仔细研究一下我楼上的那个贴子.
就应该能够明白,如果你告诉我说不懂PHP,那我也无话可说了