SQUID的ncsa_auth认证原理

发表于:2007-05-25来源:作者:点击数: 标签:
前天看了一下ncsa_auth认证程序的源码,发现这个认证其实是非常简单的。 squid启动时运行ncsa_authpasswd密码文件 如果你的认证用户不是很多的话,写个sh就可以解决问题了 ncsa_auth.sh 内容如下 #认证用户名为abc密码123 [code:1:e0e520c5be] whiletrue;do

前天看了一下ncsa_auth认证程序的源码,发现这个认证其实是非常简单的。
squid启动时运行ncsa_auth passwd密码文件

如果你的认证用户不是很多的话,写个sh就可以解决问题了
ncsa_auth.sh

内容如下
#认证用户名为abc密码123
[code:1:e0e520c5be]
while true ; do
 read a
 user=`echo a| /usr/bin/cut -d ' ' -f1`
 pass=`echo a|/usr/bin/cut -d ' ' -f2`
 if [ "$user" == "abc" ] ; then
         if [ "$pass" == "123" ] ; then
                    echo OK;
        else
                    echo ERR;
        fi
 else
         echo ERR
  fi
done
#结束

呵呵,如果你的认证不是很频繁的话。但是你希望与你的数据库认证集成在一起的话
你也可以用php连结数据库达到这个目的
在ncsa_auth.sh里的内容应该如下:
/usr/local/bin/php /usr/local/etc/ncsa_auth.php

在ncsa_auth.php内容
<?php

$fd = fopen('php://stdin', 'r'); 
while(true){
        $buffer = fgets($fd, 4096);
        $lsstr=explode(' ',$buffer);
        $sql_str="select user from bbs_user where userid like '$lsstr[0]' and pass like '$lsstr[1]'";
        #如果用户名与密码正确的话
         if(true) echo 'OK';
         else echo 'ERR';
}
?>
[/code:1:e0e520c5be]
抛砖引玉,希望大家在用squid认证能够有所启发,当然如果你觉得效率低下的话就使用C,直接修改squid自带的ncsa_auth.c加了数据库查询语句就行了。

 ljily000 回复于:2005-03-06 21:11:31
:em27: 

顶!
Good!

 段誉 回复于:2005-03-12 04:00:37
顶上来,大家都了解一下。

BTW:请大家多多关注我们这个板子,多推荐好帖子,增加我们这个板子的精华数量。谢谢!!

 shitian8848 回复于:2005-03-12 09:32:49
正在弄squid的认证呢,呵呵,谢谢楼主了。
UP!

 platinum 回复于:2005-03-12 10:45:27
请教一下楼主
[code:1:4e08dde378]
while true ; do 
read a 
user=`echo a| /usr/bin/cut -d ' ' -f1` 
pass=`echo a|/usr/bin/cut -d ' ' -f2` 
if [ "$user" == "abc" ] ; then 
        if [ "$pass" == "123" ] ; then 
                   echo OK; 
       else 
                   echo ERR; 
       fi 
else 
        echo ERR 
 fi 
done 
#结束 
[/code:1:4e08dde378]
这个shell用于哪里?
好像和squid认证无关啊~
另外,ncsa的密码是MD5后的,而楼主这个shell是明码

我只是想知道,这个shell是做什么的呢?

 60133056 回复于:2005-03-12 13:45:32
观望 学习

 wingger 回复于:2005-03-12 14:28:08
[quote:7f7046b6b5="platinum"]这个shell用于哪里?
好像和squid认证无关啊~
另外,ncsa的密码是MD5后的,而楼主这个shell是明码

我只是想知道,这个shell是做什么的呢?[/quote:7f7046b6b5]

我也想知道,是用这个来代替ncsa吗?
还是解剖他的原理?

 wxxszzz 回复于:2005-03-12 17:43:24
看了上面大家的回贴,我就再解释一下吧。

我们使用htpasswd产生的那个密码文件里的密码是用MD5加密的。

但是squid传递给ncsa_auth认证程序的密码使用的是明码,
然后由ncsa_auth认证程序再用md5加密传给他的密码后
再与用htpasswd产生的那个密码文件里的密码相比较。
如果符合就认为密码正确。

另外以上的sh与使用php密码认证的程序。
就是接到squid的密码后,不使用md5加密接收到的密码,直接比较,

以上的两个程序
他们都是可以直接替代ncsa_auth这个认证程序的。

OK,如果还有疑问,可以再提问,不过我觉得SQUID他这样的认证是比较合理的。现时也比较直接明了,

设想一下,如果你的认证用户非常多,如有1000人以上同时认证,我们可以简单的使用上面的高级语言如C、php、perl、java等语言,只要他的代码里支持套接字sockets接口你就可以设计一个集中式的认证系统。

以PHP举例:

代码如顶搂的语言里只是稍微修改一下。
[code:1:d8bd213a3b]
在ncsa_auth.php内容 
<?php 

$fd = fopen('php://stdin', 'r'); 
while(true){ 
       $buffer = fgets($fd, 4096); 
       $lsstr=explode(' ',$buffer); 
#这里使用套接字把用户名与密码发送到后台认证中心去
     $sfd=fscoket("x.x.x.x",)
       write      
       read
       fclose($sfd);

fclose($fd);
?> 
[/code:1:d8bd213a3b]
这里之后,一个比较好的认证中心这可以产生了。之所以选用PHP认证,是因为这段时间用PHP比较多。
这样之后,你就可以使用多台SQUID,多台认证中心,一个中央数据库。

呵呵,不知道各位看过我的解释与说明之后,是不是有所启发呢?
没有做不到,只有想不到的事情。

 platinum 回复于:2005-03-16 07:21:21
这个是ncsa_auth.c的源代码
[code:1:2a9999c6f7]
/*
 * ncsa_auth.c
 *
 * AUTHOR: Arjan de Vet <Arjan.deVet@adv.iae.nl>
 *
 * Example authentication program for Squid, based on the original
 * proxy_auth code from client_side.c, written by
 * Jon Thackray <jrmt@uk.gdscorp.com>.
 *
 * Uses a NCSA httpd style password file for authentication with the
 * following improvements suggested by various people:
 *
 * - comment lines are possible and should start with a '#';
 * - empty or blank lines are possible;
 * - extra fields in the password file are ignored; this makes it
 *   possible to use a Unix password file but I do not recommend that.
 *
 */

#include "config.h"
#if HAVE_STDIO_H
#include <stdio.h>
#endif
#if HAVE_STDLIB_H
#include <stdlib.h>
#endif
#if HAVE_UNISTD_H
#include <unistd.h>
#endif
#if HAVE_STRING_H
#include <string.h>
#endif
#if HAVE_SYS_TYPES_H
#include <sys/types.h>
#endif
#if HAVE_SYS_STAT_H
#include <sys/stat.h>
#endif
#if HAVE_CRYPT_H
#include <crypt.h>
#endif

#include "util.h"
#include "hash.h"

static hash_table *hash = NULL;
static HASHFREE my_free;

typedef struct _user_data {
    /* first two items must be same as hash_link */
    char *user;
    struct _user_data *next;
    char *passwd;
} user_data;

static void
my_free(void *p)
{
    user_data *u = p;
    xfree(u->user);
    xfree(u->passwd);
    xfree(u);
}

static void
read_passwd_file(const char *passwdfile)
{
    FILE *f;
    char buf[8192];
    user_data *u;
    char *user;
    char *passwd;
    if (hash != NULL) {
        hashFreeItems(hash, my_free);
    }
    /* initial setup */
    hash = hash_create((HASHCMP *) strcmp, 7921, hash_string);
    if (NULL == hash) {
        fprintf(stderr, "ncsa_auth: cannot create hash table\n");
        exit(1);
    }
    f = fopen(passwdfile, "r");
    if (NULL == f) {
        fprintf(stderr, "%s: %s\n", passwdfile, xstrerror());
        exit(1);
    }
    while (fgets(buf, 8192, f) != NULL) {
        if ((buf[0] == '#') || (buf[0] == ' ') || (buf[0] == '\t') ||
            (buf[0] == '\n'))
            continue;
        user = strtok(buf, ":\n\r");
        passwd = strtok(NULL, ":\n\r");
        if ((strlen(user) > 0)  & passwd) {
            u = xmalloc(sizeof(*u));
            u->user = xstrdup(user);
            u->passwd = xstrdup(passwd);
            hash_join(hash, (hash_link *) u);
        }
    }
    fclose(f);
}

int
main(int argc, char **argv)
{
    struct stat sb;
    time_t change_time = 0;
    char buf[256];
    char *user, *passwd, *p;
    user_data *u;
    setbuf(stdout, NULL);
    if (argc != 2) {
        fprintf(stderr, "Usage: ncsa_auth <passwordfile>\n");
        exit(1);
    }
    while (fgets(buf, 256, stdin) != NULL) {
        if ((p = strchr(buf, '\n')) != NULL)
            *p = '\0';          /* strip \n */
        if (stat(argv[1],  sb) == 0) {
            if (sb.st_mtime != change_time) {
                read_passwd_file(argv[1]);
                change_time = sb.st_mtime;
            }
        }
        if ((user = strtok(buf, " ")) == NULL) {
            printf("ERR\n");
            continue;
        }
        if ((passwd = strtok(NULL, "")) == NULL) {
            printf("ERR\n");
            continue;
        }
        rfc1738_unescape(user);
        rfc1738_unescape(passwd);
        u = hash_lookup(hash, user);
        if (u == NULL) {
            printf("ERR\n");
        } else if (strcmp(u->passwd, (char *) crypt(passwd, u->passwd))) {
            printf("ERR\n");
        } else {
            printf("OK\n");
        }
    }
    exit(0);
}
[/code:1:2a9999c6f7]
看了一下,关键问题是在这里
[code:1:2a9999c6f7]
        if ((user = strtok(buf, " ")) == NULL) {
            printf("ERR\n");
            continue;
        }
        if ((passwd = strtok(NULL, "")) == NULL) {
            printf("ERR\n");
            continue;
        }
        rfc1738_unescape(user);
        rfc1738_unescape(passwd);
        u = hash_lookup(hash, user);
        if (u == NULL) {
            printf("ERR\n");
        } else if (strcmp(u->passwd, (char *) crypt(passwd, u->passwd))) {
            printf("ERR\n");
        } else {
            printf("OK\n");
        }
[/code:1:2a9999c6f7]

如果用ncsa_auth.php来做“认证中心”,squid又怎么去调用呢?

 wxxszzz 回复于:2005-03-16 10:04:32
你没仔细看我项楼的贴子啊.

我写得使用PHP认证是
squid先调用的是ncsa_auth.sh这个文件
也就是在squid.conf这个配置文件写的认证程序为ncsa_auth.sh

而这个ncsa_auth.sh文件的内容就是调用php去执行ncsa_auth.php
ncsa_auth.sh这个文件的内容如下:
[code:1:5cb36057b4]
/usr/local/bin/php /usr/local/squid/etc/ncsa_auth.php
[/code:1:5cb36057b4]
#end
由这个ncsa_auth.sh来调用ncsa_auth.php
这样就可以了啊.
然后再在ncsa_auth.php
里面获得squid传递的用户名与密码.

你仔细研究一下我楼上的那个贴子.
就应该能够明白,如果你告诉我说不懂PHP,那我也无话可说了

 platinum 回复于:2005-03-17 00:42:38
嘿嘿,还真不懂PHP,不过你的原理我是明白了
也可以
[code:1:b068d37ad6]
/bin/bash /xxx/ncsa_auth.sh
[/code:1:b068d37ad6]
这样咯?

也可以多个squid通过一个认证服务器,那个服务器通过PHP+MYSQL进行处理,密码或明或MD5,放到数据库里

如果这样想,自由度真的很大

 yxdyw 回复于:2005-04-04 10:14:42
wxxszzz      
骑士:
 一台ADSL,一台路由器,一台單網卡linux主機,adsl接入路由器,在路由器上面拔號共享上網,我現在在路由器上面開放主機linux,把所有的網關都改為linux主機地址,利用squid+iptables實現透明代理,不知道如何實現,其中如何控制局域網上網?謝謝

 wxxszzz 回复于:2005-04-07 22:54:10
嘿嘿,大概很少有人会这么做吧。

如果三个东东都在一个网段的话,只能实现HTTP透明代理成功。其他的游戏啊QQ阿之类的就不行了。

要实现HTTP,你只要把80端口重定向到SQUID的端口3128端口就行了。


另外一个解决方案就是:

把那台LINUX的网卡再虚拟一块网卡出来,做成两个网段。

其中一个网段跟内网相同。另外一个网段跟路由器相同,当然路由器就只能改成跟linux的网段一样罗。

这样就成为了一个典型的双网卡LINUX路由器了。所有的流量都经过LINUX再通过路由器出去。

至于如何在LINUX下一块网卡绑定两个地址,查查这个论坛的精华吧。

定义好了之后,最简单的透明代理,使用IPTABLES只要三条语名。

[code:1:a7530cf441]
echo 1 >/proc/sys.net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0:1 -s 内网网段 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to LINUX内网地址:3128
[/code:1:a7530cf441]
OK

原文转自:http://www.ltesting.net