實例使用NTLM 驗證整合Squid 及Samba3實現(xiàn)AD 域用戶認證08-04-10 10:45 發(fā)表于：《藍色航標(biāo)》 分類：未分類實例使用NTLM 驗證整合Squid 及Samba3實現(xiàn)AD

實例使用NTLM 驗證整合Squid 及Samba3實現(xiàn)AD 域用戶認證

08-04-10 10:45 發(fā)表于：《藍色航標(biāo)》 分類：未分類

實例使用NTLM 驗證整合Squid 及Samba3實現(xiàn)AD 域用戶認證

Windows 的IIS 中有項配置使用集成的Windows 驗證，在AD 的環(huán)境中我們可以通過啟用集成的Windows 驗證來使用用戶登陸Windows 系統(tǒng)的帳號進行認證，在用戶訪問網(wǎng)頁時，IE 會將用戶的帳號憑據(jù)發(fā)往服務(wù)器自動做認證，不需要用戶輸入用戶名和密碼。最好的例子就是用戶登陸 Outlook Web Access（OWA ）。當(dāng)我們利用Squid 做代理服務(wù)器需要利用用戶身份做認證是，用戶每次訪問網(wǎng)頁，系統(tǒng)會提示用戶輸入用戶名和密碼，這樣給用戶帶來很多麻煩，有沒有方法集成Windows 的帳號做認證呢？通過查找資料，發(fā)現(xiàn)實際上在Linux 等系統(tǒng)下，利用SQUID 集成SAMB 同樣可以集成 windows的認證，用戶在通過訪問代理服務(wù)器時自動利用登陸計算機的帳號做身份驗證，對用戶完全透明，不需要手動輸入用戶名及密碼。下面是我進行 Squid集成Windows 帳號認證的總結(jié)，希望對有這方面需求的朋友有所幫助，其中有什么不正確及有更好的方法也希望各位給予指點，共同研究進步。

1． 實現(xiàn)環(huán)境

Fedora 7 Squid 2.6 Samba 3.0 Krb5

2． 軟件包安裝

Squid 、Samba 及Krb5均通過yum 安裝最新版本。

3． Kerberos配置

Win2003系統(tǒng)默認通過Kerberos 做身份驗證，Kerberos 驗證需要安裝Krb5軟件包。配置文件及測試都很簡單。Krb5的配置文件為

/etc/krb5.conf，配置如下

CODE:

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

[libdefaults]

default_realm = TEST.COM （驗證域的realm ，必須全部大寫） dns_lookup_realm = false

dns_lookup_kdb = false

[realms]

TEST.COM = {

kdc = 192.168.0.1:88 (域控制器名，可以是IP 地址)

default_domain = TEST.COM （缺省域名，同樣必須全部大寫） }

[domain_realm]

.test.com = TEST.COM

test.com = TEST.COM

配置完成后可以通過Kinit 工具進行測試方法如下

CODE:

root# kinit administrator@TEST.COM

Password for administrator@TEST.COM

正確輸入密碼后系統(tǒng)返回

CODE:

kinit: NOTICE: ticket renewable lifetime is 1 week

表示正確驗證，如果返回有錯誤，檢查krb5.conf 文件設(shè)置。

4． Samba配置

通常samba 配置文件在/etc/samba/smb.conf，編輯smb.conf 文件如下 注意，安裝Samba 帶有Winbind 組件

CODE:

[global]

log file = /var/log/samba/log.m

dns proxy = No

idmap gid = 10000-20000

server string = Samba Server

idmap uid = 10000-20000

password server = 192.168.0.1

workgroup = TEST (域的NetBios 名)

os level = 20

encrypt passwords = yes

security = ads （設(shè)置為AD 驗證）

realm = TEST.COM （驗證域realm ，必須大寫）

winbind use default domain = yes

max log size = 50

這里需要正確配置你的workgroup 、Netbios 名、realm,password

servers(域控制器，可以有多臺) 。一旦配置正確，你可以使用net ads join 將你的Samba 主機加入AD 中。輸入

CODE:

root# net ads join –U administrator@TEST.COM 或 net rpc join -S win2k3.test.com -U administrator

將主機加入AD 。

重新啟動samba

CODE:

service smb restart

同時winbind 也要重新啟動。

service winbind restart

5． 確認Samba 主機帳號在AD 中正確注冊

使用wbinfo –t 驗證Samba 主機已成功加入AD

CODE:

root# wbinfo –t

系統(tǒng)返回

CODE:

checking the trust secret via RPC calls succeeded

說明主機信任已成功建立

使用wbinfo –u 可以列出AD 中注冊的帳號信息。Wbinfo –g 可以返回AD 中的組信息。

6． 測試ntlm_auth驗證

CODE:

root# ntlm_auth --username=administrator

Password:**************

NT_STATUS_OK: NT_STATUS_OK (0x0)

說明域帳號administrator 已成功驗證

7． 配制NSS

Nss 為Name Service Switch ，控制帳號的驗證。編輯/etc/nsswitch.conf,如下

CODE:

passwd: files winbind

group: files winbind

8． 配置Squid

在squid.conf 文件中增加

CODE:

auth_param ntlm program /usr/bin/ntlm_auth

--helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 5

auth_param ntlm max_challenge_reuses 0

auth_param ntlm max_challenge_lifetime 2 minutes //這二行在squid

2.6中不能識別，不知道何原因，所以我實際上已經(jīng)注釋掉了 ^_^

auth_param basic program /usr/bin/ntlm_auth

--helper-protocol=squid-2.5-basic

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 5 hours

acl NTLMUsers proxy_auth REQUIRED

配置Squid 使用ntlm_auth驗證，并允許驗證用戶通過代理服務(wù)器訪問。 這里要注意一點，用戶要通過驗證squid 必須能訪問winbind pipe，否則用戶不能通過Squid 驗證, 我剛配置完成時就是因為這里總是不能通過squid 身份驗證。修改winbind pipe權(quán)限

CODE:

root# chown -R root:squid /var/cache/samba/winbindd_privileged root#chmod -R 750 /var/cache/samba/winbindd_privileged

9． 重新啟動服務(wù)器，驗證使用域用戶身份驗證。

如果使用域帳號登陸計算機，那么瀏覽網(wǎng)頁時就不會提示輸入用戶名及密碼認證，非域用戶登陸計算機，通過代理訪問網(wǎng)站時，IE 將彈出用戶身

份驗證窗口要求用戶輸入用戶名及密碼驗證。

在squid.conf 中同樣可以設(shè)置允許訪問的域用戶，及不允許訪問的域用戶。對于windows 域用戶來說，說有的驗證都是透明的。不需要手動輸入用戶名及密碼，方便用戶的使用。

======================================

附：

ADS 模式還是以RPC 模式

Configuring Samba 3.0 To Use The ADS Security Mode (CentOS) http://www.howtoforge.com/samba_ads_security_mode

官方英文文檔： http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#ads-member