După cum a arătat răspunsul cititorului, unul dintre subiectele cele mai interesante este configurarea autentificării prin serverul proxy Squid. Astăzi, cu puțin timp liber, am decis să scriem o scurtă notă pe această temă, care a dus în cele din urmă la un articol cu drepturi depline.
Semnalarea imediată importantă: autentificarea și proxy-ul transparent sunt incompatibile! Este necesar să alegeți un singur lucru. Al doilea avertisment: autentificarea proxy va restricționa accesul la Internet numai prin intermediul protocolului HTTP. Alte protocoale: FTP, SMTP, POP3 și altele vor continua să funcționeze fără probleme prin NAT. Deși acest lucru nu este atât de important în organizațiile mici, cel mai utilizat (și abuzat) este protocolul HTTP, iar una dintre sarcinile administratorului este de a restricționa accesul angajaților la Internet prin browser.
Pregătirea serverului.
De asemenea, dezactivați conexiunile HTTP (port 80) prin NAT, pentru aceasta, înainte de linie:
Dacă este necesar, puteți dezactiva toate porturile și protocoalele în mod prestabilit și apoi permiteți cele necesare. Pentru a face acest lucru, regula va arăta astfel:
Reporniți, verificăm corectitudinea lanțurilor.
Configurați Squid
Prima linie indică numărul de canale disponibile simultan pentru autentificare, al doilea salut afișat, poate înlocui serverul web Squid proxy-cache care vă place, cum ar fi ooo server de Internet „coarne și copite.“ Cea de-a treia linie este responsabilă de timpul de stocare a perechii de login-parolă, după care serverul va cere oa doua verificare.
Adăugați apoi o linie care permite accesul numai pentru utilizatorii autentificați:
Nu uitați să eliminați setarea responsabilă de transparență, în loc de
Este important. în versiunile Squid3, începând cu 3.1 și mai nou, în loc de opțiunea transparentă, interceptarea este utilizată.
Salvați fișierul. Acum trebuie să creați un fișier de parolă și să creați utilizatori. Pentru aceasta avem nevoie de utilitarul htpasswd din apache2-utils. instalați acest pachet:
Acum vom porni utilizatorul cu comanda:
Opțiunea -c specifică pentru a crea un fișier de parolă în caz de absență, al doilea și utilizatorii ulteriori ar trebui să fie pornit cu comanda:
Pe mașina client în browser, indicăm în mod explicit utilizarea proxy-ului și încercăm să accesăm Internetul, dacă totul se face corect, ar trebui să apară fereastra de solicitare de conectare.
Detectarea automată a setărilor proxy
Acum, în dosarul rădăcină al serverului web, creați fișierul WPAD:
Deschideți-l cu următorul text:
În plus, trimitem direct protocolul HTTPS, pe care Squid încă nu îl procesează, eliminând astfel posibilele probleme cu site-urile care lucrează la acest protocol:
Ca rezultat, fișierul ar trebui să arate astfel:
Dacă rețeaua dvs. utilizează Internet Explorer, puteți transfera locația scriptului WPAD utilizând un server DHCP, pentru aceasta adăugați /etc/dnsmasq.conf la:
În proprietățile de conectare ale browserului va fi suficient să bifați caseta "Detectarea automată a parametrilor"
Materiale suplimentare:
Articole similare
Trimiteți-le prietenilor: