请教:在redhat LINUX 3.0 使用squid设置代理后,如何调用原WINDOWS域的帐号?
因公司已设置几百个域帐号,而原WINDOWS下的ISA代理服务不太稳定,想从LIUNX下寻找稳定可靠的代理上网等方案,谢谢!
| 电脑乖乖 回复于:2004-07-24 16:08:16 |
| 帮忙顶一下,因为我也想知道!! |
| szkingrose 回复于:2004-07-24 16:43:06 |
| 用smb做认证就行. |
| 电脑乖乖 回复于:2004-07-24 16:45:02 |
| 上面的朋友,能不能稍微具体一点点,让我好有地方下手 |
| szkingrose 回复于:2004-07-24 16:54:59 |
| auth basic program /usr/local/bin/smb_auth -W test.com.cn acl domainusers proxy_auth REQUIRED http_access allow domainusers |
| 电脑乖乖 回复于:2004-07-24 17:17:29 |
| 谢谢上面的朋友,我自己研究研究 |
| aomin5555 回复于:2004-07-24 17:23:46 |
| [quote:55f8a44509="szkingrose"]auth basic program /usr/local/bin/smb_auth -W test.com.cn acl domainusers proxy_auth REQUIRED http_access allow domainusers[/quote:55f8a44509] 谢谢,不过将此代码加入到squid.conf中时,无法实现代理,另外请问这个test.com.cn代表什么? |
| 电脑乖乖 回复于:2004-07-24 21:12:25 |
| 代表你要连的windows域啊,如果你的域是abc,那就是abc.com了 |
| aomin5555 回复于:2004-07-25 11:51:57 |
| 下载了SQUID2.5\SAMBA3.0及SMB_AUTH重新编译,编辑/usr/local/squid/etc/squid.conf 如下所示: auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 30 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth basic program /usr/local/bin/smb_auth -W test.com acl domainusers proxy_auth REQUIRED http_access allow domainusers 在WINDOWS客户端设置代理后,弹出了验证帐号密码,但还是无法通过原WINDOWS域的帐号密码,风云使者,可否提供详细的解决方法?非常感谢 |
| 电脑乖乖 回复于:2004-07-25 20:53:41 |
| 好像是呀,顶一下,请大家一起来把这个问题搞定 |
| szkingrose 回复于:2004-07-26 07:46:54 |
| 你的域名真是test.com? |
| aomin5555 回复于:2004-07-26 09:23:15 |
| 对,有一台作为测试用的域名是TEST.COM,公司域名不是,我在/etc/samba/smb.conf 下加入了以下内容,这是前提条件吗?(将LINUX主机加入到域中) |
| szkingrose 回复于:2004-07-26 09:53:32 |
| 在linux上ping test.com能通吗? |
| aomin5555 回复于:2004-07-26 19:02:24 |
| [quote:55f87bebd6="szkingrose"]在linux上ping test.com能通吗?[/quote:55f87bebd6] sorry,今天工作太忙。 能PING通,双网卡,设定了DNS,使用 # useradd -d /dev/null -s /bin/false aomin # passwd aomin # smbpasswd -a aomin net join –S test.com –U aomin 输入密码后提示找不到合适的服务器。 单纯作为代理器一般应设置哪几项?安全性高么?因公司原来用的是ISA,不太稳定而才尝试在LINUX下作代理。 |
| szkingrose 回复于:2004-07-27 08:11:25 |
| 最后代表你的域不能进行正常连接. 不如你直接指定IP试试? |
| 电脑乖乖 回复于:2004-07-27 14:51:38 |
| 继续讨论啊,精彩的 |
| aomin5555 回复于:2004-07-27 15:09:50 |
| 昨晚我重新安装了RH3.0,参考了一篇文章: Samba的配置如下 # Global parameters [global] workgroup = test.com server string = samba security = domain password server = test.com encrypt passwords = yes log file = /var/log/samba/%m.log max log size = 50 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 dns proxy = No hosts allow = 10.1. [homes] comment = Home Directories read only = No browseable = No [printers] comment = All Printers path = /var/spool/samba printable = Yes browseable = No 添加系统用户及Samba用户 administrator , 该用户应有管理MS DOMAIN 的权限 # useradd -d /dev/null -s /bin/false aomin # passwd aomin 添加Samba用户 # smbpasswd -a aomin 配置 /etc/krb5.conf, 属于包krb5-libs-1.2.7-19 # cp -a /etc/krb5.conf /etc/krb5.conf.orig # vi /etc/krb5.conf # vi /etc/krb5.conf.orig [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = TEST.COM dns_lookup_realm = false dns_lookup_kdc = false [realms] TEST.COM = { kdc = test.com:88 admin_server = test.com:749 default_domain = test.com } [domain_realm] .example.com = test.com example.com = test.com [kdc] profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } 初始化用户 admin和密码 # /usr/kerberos/bin/kinit aomin@test.com [color=red:cb3f3f0d5a]出现如下提示:kinit(v5): Cannot find KDC for requested realm while getting initial credentials 我参考了以下文档:unix_install_remote.html[/color:cb3f3f0d5a]>http://www.ncsa.uiuc.edu/UserInfo/Resources/Software/kerberos/unix_install_remote.html[/color:cb3f3f0d5a] 还是无法加入到域中。 加入DOMAIN # net join –S test.com –U aomin |
| szkingrose 回复于:2004-07-27 15:47:23 |
| pdc的配置根本就不是你这样的. domain master = yes 这样成为pdc的关键你的搞错了. |
| q1208c 回复于:2004-07-27 16:03:40 |
| 成为PDC?不对吧?windows 2000 不是只有 DC 么? 或者是AD什么的。 |
| szkingrose 回复于:2004-07-27 16:13:01 |
| [quote:355227c4bf="q1208c"]成为PDC?不对吧?windows 2000 不是只有 DC 么? 或者是AD什么的。[/quote:355227c4bf] 这里说的是用samba做主控域.也就是模拟winnt4.0 |
| aomin5555 回复于:2004-07-28 09:18:27 |
| [quote:45b5afc39e="szkingrose"]pdc的配置根本就不是你这样的. domain master = yes 这样成为pdc的关键你的搞错了.[/quote:45b5afc39e] 此前,我是把它改为PDC,配置为: domain master = yes preferred master = yes domain logons = yes security = user 我用testparm看到它成为pdc了,但使用net join –S test.com –U aomin ,还是出现如下提示:kinit(v5): Cannot find KDC for requested realm while getting initial credentials 各位请帮忙,或提供相关的链接:1.先把LINUX加入到WINDOWS域中,成为域成员 2.使用squid作为代理,直接调用windows域的帐号。 谢谢 |
| xhhuang 回复于:2004-07-28 18:55:02 |
| 选择Squid和Samba所有组件 找到/etc/squid/squid.conf文件将下列脚本写入配置文件中(#为注销脚本) http_port 3128 //端口 cache_mem 1000 MB //缓存 cache_swap_low 90 cache_swap_high 95 maximum_object_size 4096 KB cache_dir ufs /var/spool/squid 1000 16 256 cache_access_log /var/log/squid/access.log //日志 cache_log /var/log/cache.log //日志 cache_store_log /var/log/squid/store.log //日志 dns_nameservers 202.102.4.141 //代理服务器DNS unlinkd_program /usr/lib/squid/unlinkd acl all src 0.0.0.0/0.0.0.0 //规则 acl alow_ip src 192.168.8.0/255.255.255.0 #acl localhost src 192.168.8.76/255.255.255.255 192.168.8.25/255.255.255.255 authenticate_program /usr/lib/squid/smb_auth -W jingyang -U 192.168.8.5 #联接域控制器,authenticate_program调用smb验证程序 –W 联接域名 –U 直接指定域控制器的IP地址. #acl auth_user proxy_auth REQUIRED #http_access allow auth_user acl allow_user proxy_auth zhangzheng a96062 //帐号控制 acl timelimit time T 8:40-9:50 //设定时间 # S - Sunday #M - Monday #T - Tuesday #W - Wednesday #H - Thursday #F - Friday #A - Saturday #acl deny_user proxy_auth xhhuang http_access allow allow_user timelimit allow_ip //接受条件 #http_access deny deny_user #http_access allow alow_ip #http_access deny all #http_access allow localhost #cache_effective_user squid #cache_effective_group squid #httpd_accel_with_proxy on #httpd_accel_uses_host_header on 3.写完保存以后,#/etc/rc.d/init.d/squid restart 要保证能正常启动,如有错误会出现提示,仔细查找.再重启直至无错误. 4.找到/etc/Samba/smb.conf文件将下列脚本写入配置文件(#为注销脚本) [global] workgroup = workgroup //工作组名 server string = Samba Server //注释名 netbios name=linux //网络上的名称 security = share //共享 null passwords = yes //无密码 guest ok=yes //接受访问 #smb passwd file = /etc/samba/smbpasswd map to guest=bad user [public] path=/var //共享目录 #read only=no 5.写完上述两个文件以后保存以后在控制台下,#/etc/rc.d/init.d/smb restart #/etc/rc.d/init.d/squid restart 6.[size=18:9b1b822d99]在主域控制器上的任意目录下,建立proxyauth文件,内容仅为allow,并且保证用户对它有只读的能力,一般保证所有人都可以对其只读.并将其映射成文件夹名为NETLOGON。[/size:9b1b822d99] |
| purezhang 回复于:2004-08-01 09:52:28 |
| 顶~~ |
| Polestar_lee 回复于:2004-08-03 16:31:51 |
| admoi,你的Linux加入到Windows域了吗?配置成功了吗?成功了把经验共享啊。还有版主光明使者好像有这方面的经验,你把你的成功方法系统的写个文档贴出来啊,只言片语,让人不好理解啊。谢谢。 |
| szkingrose 回复于:2004-08-03 16:45:03 |
| 我公司现在没有windows域了。 没办法试了。 找个时间我来试试吧。 |
| rinehart 回复于:2004-12-05 10:12:51 |
| 我没有研究你的配置,不过出现以下问题有一个很大的可能性 kinit(v5): Cannot find KDC for requested realm while getting initial credentials 是要求你的夺命(Domain)需要大写!! |
| jzcjy 回复于:2004-12-05 10:56:46 |
| 真的无聊,用linux的东西就不要考虑ms的烂东西,DC下能有多少用户,用这个smb认证没有什么作用的,你天天忙吧; 直接麻烦一次搞成MAC认证,一了百了;关键是可靠; squid updata to 2.53 or up; |
| chinesecai 回复于:2005-03-15 22:31:41 |
| 楼上 很多用户都是多种系统共存,,讨论的是怎么实现,并不是什么ms 好不好。 |
延伸阅读
文章来源于领测软件测试网 https://www.ltesting.net/
