Возникла однажды интересная задача — организация прокси-сервера для филиала. С тех пор утекло много времени и пришла пора вспомнить как и что делалось. Для начала почитайте дополнительную небольшое введение о том зачем нужен прокси-сервер, как браузер обменивается информацией с прокси-сервером. Данная статья является скорее заметкой, нежели полноценной статьей, потому предоставляется AS IS (как есть) и вся ответственность за ее использование ложится на Ваши плечи (т.е. все нижеследующее не отменяет чтения вами документации и прочей полезной литературы). Данная заметка рассчитана на RHEL5.
Зачем нужен прокси-сервер?
Для того, чтоб не выпускать весь http/https/FTP/gopher трафик пользователей в Интернет, а, используя единую точку выхода, фильтровать какие запросы выпускать, а какие — нет. Для удобства управления предусмотрена возможность управления доступов в Интернет посредством нахождения пользователя в определённых группах Active Directory.
Как настроить клиенткое ПО для использования прокси-сервера?
Подавляющее большинство программ, требующих выхода в Интернет, имею в своих настройках возможность указать прокси-сервер, порт и, опционально, параметры авторизации.
Как это работает?
Рассмотрим пример. Пользователь открывает браузер и вводит в адресной строке domain.ru. Не буду рассказывать что происходит действие прежде, чем браузер отправит запрос http-серверу, это несущественно для примера. Итак, браузер сформировал запрос и отправил его http-серверу напрямую, если не указаны настройки прокси-сервера, но, поскольку, выход в Интернет скорее всего открыт только для прокси-сервера, то пользователь ожидаемую страничку так и не увидит. Указывая в настройках браузера параметры прокси-сервера, мы заставляем браузер отправлять весь http-трафик прокси-серверу.
Что происходит на стороне прокси-сервера?
Если squid получает запрос, который попадает под ACL proxy_auth (proxy_auth_regex, external с %LOGIN) в http_access, то squid ищет заголовок Authorization и извлекает из него имя и пароль (base64, открытым текстом); если заголовок не обнаружен, то браузеру возвращается сообщение об ошибке 407 (Proxy Authentication Required) со списком допустимых схем аутентификации, браузер запрашивает у пользователя имя и пароль для определённой области действия (realm); полученные от пользователя имя и пароль браузер передаёт в последующих запросах к squid в заголовке Authorization; для аутентификации используется внешняя программа, которая получает на стандартный ввод имя и пароль и должна ответить "OK" или "ERR".
Squid может предлагать клиенту несколько схем аутентификации (заголовок Proxy-Authenticate:), а браузер должен выбрать из них самую безопасную из понимаемых им; на практике, браузеры обычно выбирают самую первую.
Далее, откуда брать объект определяется так (в упрощенном виде): послать ICP/HTCP/multicast запросы ко всем подходящим соседям; подождать определенное время; загрузить с первого соседа, пославшего HIT; иначе загрузить с первого отца, ответившего MISS; иначе загрузить с первоисточника, а затем передать пользователю.
Итак, приступим. Нам понадобятся следующие пакеты: squid, ntp,
samba-common, krb5-workstation, krb5-libs.
squid — собственно пакет с прокси-сервером
ntp — сервер времени, необходим для синхронизации времени с контроллером домена
samba-common — пакет с демоном winbind, собственно для авторизации пользователей в AD
krb5-* — библиотеки для работы с kerberos
Устанавливаем пакеты при помощи yum или rpm (что кому удобней, что у кого настроено)
1. Установить пакет ntp и добавить его в автозапуск
1.yum -y install ntp
2./sbin/chkconfig ntpd on
2. Настроить /etc/ntp.conf (ниже перечислены ключевые моменты)
1.server IP_DOMAIN_CONTROLLER
2.остальные директивы server закомментировать
3. Синхронизировать время с контроллером домена
1./usr/sbin/ntpdate IP_DC
4. Запустить сервер ntp
1./sbin/service ntpd restart
5. Установить пакет samba-common
1.yum -y install samba-common
6.Настроить /etc/samba/smb.conf (ниже перечислены ключевые моменты)
1.workgroup = BRANCH
2.security = ADS
3.password server = IP_DOMAIN_CONTROLLER
4.realm = BRANCH.OFFICE.COM
5.netbios name = GW-BRANCH
6.idmap backend = rid:BRANCH=10000 – 20000
7.winbind uid = 10000 – 20000
8.winbind gid = 10000 – 20000
9.winbind use default domain = yes
10.winbind enum users = yes
11.winbind enum groups = yes
12.local master = no
13.os level = 0
14.preferred master = no
15.wins support = no
16.load printers = no
17.где BRANCH – netbios имя вашего филиала, например, ODESSA, branch – то же самое, но с маленькой буквы
7. Установить пакеты krb5-libs и krb5-workstation
1.yum -y install krb5-libs krb5-workstation
8. Настроить /etc/krb5.conf (ниже перечислены ключевые моменты)
1.[libdefaults]
2. default_realm = BRANCH.OFFICE.COM
3.[realms]
4. BRANCH.OFFICE.COM = {
5. kdc = IP_DOMAIN_CONTROLLER:88
6. admin_server = IP_DOMAIN_CONTROLLER:749
7. default_domain = branch.office.com
8.[domain_realm]
9. .branch.office.com = BRANCH.OFFICE.COM
10. branch.office.com = BRANCH.OFFICE.COM
9. Настроить /etc/hosts (добавить запись о нашем хосте)
1.IP_THIS_SERVER gw-branch.office.com
10. Настроить /etc/resolv.conf (добавить записи)
1.nameserver 127.0.0.1 (или IP_DOMAIN_CONTROLLER)
2.search branch.office.com office.com
11. Добавить в ДНС-сервер на контроллере домена запись о нашем сервере
12. Завести в AD группы gl-Inet-extra, gl-Inet-power, gl-Inet-users и добавить в них соответствующих пользователей
13. Получить билет kerberos
1.kinit Administrator или kinit root
14. Ввести компьютер в домен (в случае ошибок проверить ДНС-имена)
1.net ads join -U Administrator
15. Запустить winbind и добавить его в автозапуск
1.Проверить, чтоб пользователь от имени которого запускается squid имел права на чтение winbind-сокета в папке winbindd_privileged ls -l /var/cache/samba/ или /var/lib/samba
2.chgrp squid /var/cache/samba/winbindd_privileged
3./sbin/service winbind start
4./sbin/chkconfig winbind on
16. Проверить вывод wbinfo -t (-p, -u, -g, --get-auth-user) на предмет ошибок
17. sudo wbinfo --set-auth-user=BRANCH\root%ПАРОЛЬ
18. Проверить вывод ntlm_auth –helper-protocol=squid-2.5-basic на предмет ошибок
19. Проверить вывод wbinfo_group.pl на предмет ошибок
1.echo root gl-inet-extra | /usr/lib64/squid/wbinfo_group.pl
2.правильные ответы — ERR, OK. Если выдает Couldn't convert sid to gid или подобное, то проблема в настройке samba.
20. Установить пакет squid 1.yum -y install squid
21. Настроить /etc/squid/squid.conf (ниже перечислены ключевые моменты)
1.auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
2.auth_param ntlm children 30
3.auth_param ntlm keep_alive off
4.auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
5.auth_param basic realm Squid proxy-caching web server
6.auth_param basic children 5
7.auth_param basic credentialsttl 2 hours
8.external_acl_type ad_group %LOGIN путь_к_wbinfo_group.pl
9.acl extra external ad_group gl-Inet-extra
10.acl power external ad_group gl-Inet-power
11.acl users external ad_group gl-Inet-users
12.http_access allow MYDOMAIN allow_hosts
13.http_access allow extra all
14.http_access deny all
15.pid_filename /var/run/squid/squid.pid. Описание смотреть ниже в комментариях к рабочему конфигу squid.conf, а здесь только команды.
1.отредактировать /etc/init.d/squid
2.mkdir -p /var/run/squid/
3.chown squid:squid /var/run/squid/
4.cd /etc/squid/ && rm -f errors
5.cd /etc/squid/ && ln -s /usr/share/squid/errors/Russian-1251 errors
22. Перезапустить squid
1./sbin/service squid restart (reload)
23. В домене настроить групповую политику для IE. (regsvr32.exe ieaksie.dll)
24. Проверить работу всей системы
Листинг /etc/squid/squid.conf с некоторыми комментариями, для Squid3. За более подробным описанием директив следует обратиться к файлу squid.conf.default. Полностью приводить конфиг не вижу смысла ибо он очень большой и большинство директив имеют значения по умолчанию.
# адрес, на котором слушать запросы клиентов
http_port 172.xx.1.254:3128
******
# по умолчанию, однажды захваченная, но ныне не используемая память не отдается обратно # в систему, off позволяет освобождать ее
memory_pools on
memory_pools_limit 256 MB
# Директория для кэша, числа - размер кэша в Mb, число директорий первого уровня, число директорий второго уровня в каждой директории первого.
cache_dir ufs /var/spool/squid 4500 32 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
******
# где хранить pid-процесса. ОБЯЗАТЕЛЬНО должен совпадать с тем, что указано в /etc/init.d/squid потому как не сможете нормально стартовать/остановить squid. Если необходимо — внесите правки либо в squid.conf, либо создайте папку /var/run/squid и дайте пользователю, под которым запускается squid права на запись в данную папку.
pid_filename /var/run/squid/squid.pid
****
dns_nameservers 127.0.0.1
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 35
auth_param ntlm keep_alive off
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
# сколько процессов запускать
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
******
# ----------------------------------------------------------------
# DEFAULT CONFIG
# ----------------------------------------------------------------
# закомментировать для Squid3, для второй версии раскомментировать
#acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl webserver src 172.xx.1.254/32
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl CONNECT method CONNECT
acl MYDOMAIN proxy_auth REQUIRED
# внешняя ACL для разруливания по группам
external_acl_type ad_group ttl=120 %LOGIN /usr/lib64/squid/wbinfo_group.pl
acl extra external ad_group gl-Inet-extra
acl power external ad_group gl-Inet-power
acl users external ad_group gl-Inet-users
# список хостов, доступных пользователям группы gl-inet-users
acl allow_tender dstdom_regex "/etc/squid/acl/allow_tender"
# список запрещенных хостов
acl deny_hosts dstdom_regex "/etc/squid/acl/deny_hosts"
# список хостов, доступных без регистрации
acl allow_hosts dstdom_regex "/etc/squid/acl/allow_hosts"
acl no_delay dst "/etc/squid/acl/no_delay_hosts"
acl worktime time MTWHFS 8:00-19:30
# Default configuration
# пропускаем sqstat
http_access allow manager webserver
http_access deny manager
# Закрываем доступ, кроме как к разрешенным портам
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# Разрешаем всем доступные сайты, этим же правилом срубаются все неавторизованные
http_access allow MYDOMAIN allow_hosts
# разрешаем доступ группе gl-inet-extra на все сайты
http_access allow extra all
# разрешаем доступ группе gl-inet-power на все сайты, кроме deny_hosts
http_access allow power !deny_hosts
# разрешаем доступ группе gl-inet-users на все разрешенные сайты allow_tender
http_access allow users allow_tender
# запрещаем доступ всем, кто не попал по вышестоящие правила
http_access deny all
miss_access allow localhost
miss_access allow MYDOMAIN allow_hosts worktime
miss_access allow extra all
miss_access allow power !deny_hosts worktime
miss_access allow users allow_tender worktime
miss_access deny all
*****
# для того, чтоб выводились сообщения на русском сделать в директории /etc/squid
# ln -s /usr/share/squid/errors/Russian-1251 errors
# предварительно, удалив неправильную ссылку errors
error_directory /etc/squid/errors
*****
Листинг файла /etc/hosts:
127.0.0.1 gw.BRANCH.office.com gw localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6
172.xx.1.254 gw-BRANCH.BRANCH.office.com
Листинг файла /etc/resolv.conf:
nameserver 127.0.0.1
nameserver 172.xx.1.2
search BRANCH.office.com office.com
Листинг файла /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = BRANCH.OFFICE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
BRANCH.OFFICE.COM = {
kdc = 172.xx.1.2:88
admin_server = 172.xx.1.2:749
default_domain = branch.office.com
}
[domain_realm]
.branch.office.com = BRANCH.OFFICE.COM
branch.office.com = BRANCH.OFFICE.COM
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
Листинг /etc/samba/smb.conf:
[global]
workgroup = BRANCH
server string = BRANCH GW-Server
netbios name = GW-BRANCH
hosts allow = 127. 172.xx.
log file = /var/log/samba/%m.log
max log size = 50
security = ADS
password server = 172.xx.1.2
realm = BRANCH.OFFICE.COM
winbind uid = 10000 — 20000
winbind gid = 10000 — 20000
idmap backend = rid:BRANCH=10000 – 20000
winbind use default domain = yes
winbind enum users = yes
winbind refresh tickets = yes
winbind enum groups = yes
domain master = no
domain logons = no
local master = no
os level = 0
preferred master = no
load printers = no
Tips
Как узнать есть ли пользователь в группе, которой разрешен доступ в Интернет?
1.Залогиниться на сервере, где работает Squid
2.echo USER_NAME gl-inet-GROUPNAME | ПУТЬ_К_wbinfo_group.pl
где,
USER_NAME — логин пользователя в Active Directory, например, vasya
GROUPNAME — имя группы, например, gl-inet-users
ПУТЬ_К_wbinfo_group.pl — полный путь к файлу wbinfo_group.pl, например, /usr/lib64/squid/wbinfo_group.pl
Как открыть/закрыть пользователям доступ к определенным сайтам? Получив служебную записку от руководства на предоставление/закрытие доступа пользователям к определенным сайтам, нужно отредактировать списки с сайтами, которые находятся в файлах allow_hosts (сайты доступные без авторизации), allow_tender (сайты доступные авторизовавшимся пользователям из группы gl-inet-users), deny_hosts (сайты запрещенные авторизовавшимся пользователям из группы gl-inet-power)
1.Залогиниться на сервере, где работает Squid
2.cd /etc/squid/acl
3.Отредактировать указанные выше файлы по ситуации
4.Заставить squid перечитать свой конфигурационный файл — sudo /sbin/service squid reload
Проблема с пользователями Windows 7
Если машина с Windows 7 одна
1.проверить на win7 в реестре данный параметр LmCompatibilityLevel=0 (REG_DWORD), если его нет - создать
2.Перезагрузить машину
Если машин с Windows 7 сотни/тысячи (данный совет не всегда срабатывает)
1.Запустить редактор групповой политики
2.Создать/редактировать определенную политику (например, SquidWin7Auth)
3.Computer config (Конфигурация компьютера)->windows setting (Конфигурация Windows)->local policies (Локальные политики)->security option (Параметры безопасности)->Network security: LAN Manager authentication level (Безопасность сети: уровень проверки подлинности LAN Manager)
4.Set LM & NTLM — Use NTLMv2 session if negotited (Отправлять LM & NTLM — использовать сеансовую безопасность)
Активация Win7 вылетает с ошибкой 0x8004FE33 или подобной
Решение: Поскольку доступ в Интернет имеют ТОЛЬКО авторизованные пользователи, а программа активации не содержит возможности ввода учетных данных, необходимо в конфигурационный файл squid.conf внести изменения для разрешения доступа к домену microsoft.com и его поддоменам без требования логина/пароля.
Список сайтов необходимых для активации Win7:
http://go.microsoft.com/*
https://sls.microsoft.com/*
https://sls.microsoft.com:443
http://crl.microsoft.com/pki/crl/products/MicrosoftRootAuthority.crl
http://crl.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunications.crl
http://www.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunications.crl
http://crl.microsoft.com/pki/crl/products/MicrosoftProductSecureServer.crl
http://www.microsoft.com/pki/crl/products/MicrosoftProductSecureServer.crl
1.Залогиниться на сервере, где работает Squid
2.cd /etc/squid/
3.Отредактировать squid.conf
4. Внести в список контроля доступа acl msoft dstdomain .microsoft.com
5. Внести строку http_access allow all msoft ДО http_access allow MYDOMAIN allow_hosts
6. Внести строку miss_access allow all msoft ДО miss_access allow MYDOMAIN allow_hosts
7. Сохранить изменения и выйти
8. Заставить squid перечитать свой конфигурационный файл — sudo /sbin/service squid reload
Список литературы:
http://www.lissyara.su/articles/freebsd/programms/squid+ad/
http://bog.pp.ru/work/squid.html
http://linuxnews.ru/docs/squid.html
http://www.opennet.ru/base/net/squid_inst.txt.html
