SMAS с авторизация в AD

Немного размытый документ, но работает. При чем выполняю обе ветки, какая из верная я не фиксировал, главное, что работает. SAMS – очень неплохой веб-интерфейс к сквиду хранит логи в MySql, ограничивает пользователей, показывает статистику – одним словом все что нужно для спокойного администрирования прокси. Установку будем выполнять на CentOS 6 (подойдет ли данный документ для CentOS 7 не могу сказать, не проверял). Версия SAMS будет 1.0.5-91.1.x86_64, так как она наиболее стабильная

Устанавливаем необходимые пакеты

Добавим все в автозагрузку

Настроим ntp для забора времени с контроллера домена. Очень важно, что бы время совпадало

Для этого исправим /etc/ntp.conf и впишем IP адрес или имя контроллера домена

Запустим WEB сервер и базу данных

Инициализируем БД MySQL

Настройка kerberos

Открываем для правки файл /etc/krb5.conf

Получаем тикет

Просматриваем полученный тикет:

Настройка winbind

Открываем для редактирования файл /etc/samba/smb.conf

Проверяем правильность конфига самбы

Вводим машину в домен

Зпускаем winbind

Проверяем работоспособность:

Настройка Squid

Начиная с 3.0 версии в fedora конфигурационный файл поставляемый вместе с установкой содержит минимум необходимый для работы, а что особенно важно не содержит тагов по которым ориентируется SAMS. Открываем для редактирования файл /etc/squid/squid.conf

Задаем имя которое будет отображаться в отчетах об ошибках. Совершенно бесполезная вещь, но без нее squid не хочет запускаться

Параметры ntlm для аутентификации через браузер

Параметры используемые для аутентификации программ не поддерживающих ntlm, например icq или mail-агент. Я предпочитаю не использовать basic, потому что в большинстве организаций пароли пользователей меняются с периодичностью раз в 2 недели, а каждый раз бегать и менять пароль в mail-агентах дело не из легких. На мой взгляд лучше выделить например 3127 порт для свободного доступа.

Главный минус такого подхода – SAMS не будет считать и разбивать по пользователям трафик проходящий через порт 3127

. . .

Настраиваем директорию с кешем

По умолчанию она комментирована и имеет следующие параметры

ufs – тип файловой системы оставляем без изменений

/var/spool/squid – директория кеша

100 – размер кеша в мегабайтах, делать размер слишком большим не рекомендуется

так это увеличит нагрузку при поиске по кешу.

16 – Количество директорий 1-ого уровня

256 – Количество директорий 2-ого уровня

. . .

Важно

Если сделать это неправильно, SAMS не сможет управлять сквидом. В тексте конфига находим фразу “http_access deny all” и выше добавляем два тега полностью сохраняя написание и пробелы.

[свернуть]

Даем разрешение на чтение информации из пайпа winbind группе squid

Создаем директории кеша

Запускаем сервис

chkconfig squid on
service squid start
Starting squid: [OK]

Настройка SAMS

Редактируем файл /etc/sams.conf

Добавляем sams в автозагрузку, включаем и запускаем сервис:

Переходим по адресу http://адрес.нашего.сревера/sams

Нажимаем на кнопку “Run SAMS database installation script

Вводим:
MySQL password – пароль пользователя root, который мы задавали при установке MysqlServer
SAMS MySQL user password – точно такой же как указан в файле /etc/sams.conf в строке MYSQLPASSWORD
Нажимаем Create Database, если все прошло нормально – увидим следующее окошко.

Важно

Прежде чем переходить Веб-админку Самса, нужно исправить ошибку с отсутствующим треем (общая ошибка для Fedora, Red Hat, CentOS), открываем файл /usr/local/share/sams/src/configtray.php, находим и комментируем следующую функцию:

Перезапускаем apache: По окончанию всех действий необходимо подправить 2 пункта, которых так часто не хватает почти во всех мануалах что находил в поисковиках:

Изменение файлов ./sams/src/webconfigtray.php и ./sams/src/configtray.php, а именно комментирвоание строк

Проблема с отчетом логов –выводит только максимальный год в морде sams 2009, исправляем:
Открываем файлик mysqltools.php и вот эти номера строки в 484 560 594 676 709 меняем

на

Все наш сервер готов к работе.

[свернуть]

Вторая часть, которая. мне кажется, наиболее адекватная

Создание файла авторизации на контроллере домена

1. Добавим пользователя squid
2. CMD и ktpass.exe /princ HTTP/ /mapuser /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass PASSWORD /out C:\squid.keytab
3. Дадим ему права на просмотр информации о пользователях

Настройка /etc/init.d/squid

Рабочая конфигурация во вложении

Вносим изменения в стартовы1й скрипт SQUID /etc/init.d/squid, а именно добавляем – KRB5_KTNAME=/etc/squid/squid.keytab export KRB5_KTNAME KRB5RCACHETYPE=none export KRB5RCACHETYPE. Выглядеть это будет следующим образом:

Файл /etc/krb5

Файл smb.conf

Файл /etc/squid/squid.conf

Просмотров: 23

Опубликовано в рубрике OSTagged
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (Пока оценок нет)
Загрузка...

Оставить комментарий

Пожалуйста, авторизуйтесь чтобы добавить комментарий.
avatar
  Подписаться  
Уведомление о