Настраиваем proxy-сервер SQUID c авторизацией по LDAP (AD Windows) и web-интерфейсом для администрирования SAMS (часть 2)
Вторая часть, вот здесь первая, где рассмотрим минимальную настройку Squid, web-интерфейс для администрирования SAMS и редиректор REJIK.
1. Ставим,настроиваем сам squid:
$ aptitude install squid
Так как сам конфиг squid'а заслуживает описания отдельной статьи, а может и не одной, поэтому выложу свой кофиг, правда напильником он не обработан, но нам все завелось, все заремленное удалил:
далее ...
............ .....
# Параметры ntlm для аутентификации через браузер
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
.......... ...
acl _sams_default proxy_auth "/etc/squid/default.sams"
... ...
acl Localnet src 192.168.100.0/24
acl ALL src 0.0.0.0/0.0.0.0
#acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
..... .
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
....
http_access allow _sams_default
http_access allow Localnet
...
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
.... . . .
http_access allow localhost
..... ...
http_access deny ALL
...... ...
icp_access allow localnet
icp_access deny all
..... .......
http_port 3128
... . . ..
hierarchy_stoplist cgi-bin ?
............ .....
access_log /var/log/squid/access.log squid
........ ...........
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
............. .........
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
...... . . .. .
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
..... ......
delay_pools 1
delay_class 1 2
delay_access 1 allow _sams_default
delay_access 1 deny all
delay_parameters 1 64000/64000 64000/64000
......... .......
hosts_file /etc/hosts
. . .......
coredump_dir /var/spool/squid
# Настраиваем директорию с кешем
# По умолчанию она закоментирована и имеет следующие параметры
# # cache_dir ufs /var/spoll/squid 100 16 256
# ufs - тип файловой системы оставляем без изменений
# /var/spool/squid - директория кеша
# 100 - размер кеша в мегабайтах, делать размер слишком большим не рекомендуется
# тк это увеличит нагрузку при поиске по кешу.
# 16 - Количество директорий 1-ого уровня
# 256 - Количество директорий 2-ого уровня
# в данном примере (2048 = 2 Гб)
cache_dir ufs /var/spool/squid 2048 16 256
# TAG: cache_effective_user
# Пользователь и группа, от которых работает squid
cache_effective_user proxy
# TAG: cache_effective_group
cache_effective_group proxy
Проверяем ntlm_auth:
$ ntlm_auth --username=USER --domain=DOMAIN --dianostics password
password:
NT_STATUS_OK: Success (0x0)
где:
USER - наш пользыватель из AD
domain - наш домен (я писал заглавными буквами)
Создаем кэш:
$ squid -z
2010/09/07 11:28:55| Creating Swap Directories
Если squid не cможет запуститься по каким либо причинам, он выводит сообщения об ошибках прямо на консоль.Детальный лог будет лежать в /var/log/squid/cache.log.
2. Установливаем SAMS, берем последнюю версию SAMS собранную в пакеты для Debian (etch/lenny) и Ubuntu (hardy/jaunty) вы можете по адресам:
http://nixdev.net/release/sams/ubuntu/
http://nixdev.net/release/sams/debian/lenny/
далее ...
Выбираем свою архитектуру процессора (32х или 64х битная), и устанавливаем 3 пакета:
sams - конфигурационный файл и все исполняемые файлы демонов
sams-web - web-интерфейс для управления работой sams и squid
sams-doc - документация к sams
Рекомендуется устанавливать все 3 пакета выбранной версии: Для 32х битных систем:
$ wget -c "http://nixdev.net/release/sams/debian/lenny/sams_1.0.5_i386.deb"
$ dpkg -i sams_1.0.5_i386.deb
$ wget -c "http://nixdev.net/release/sams/debian/lenny/sams-web_1.0.5_all.deb"
$ wget -c "http://nixdev.net/release/sams/debian/lenny/sams-doc_1.0.5_all.deb"
$ dpkg -i sams-web_1.0.5_all.deb sams-doc_1.0.5_all.deb
Заходим и читаем, там все просто расписанно по шагам
$ nano /usr/share/doc/sams/README.Debian
2.1 Для работы SAMS необходимо создать пользователя sams в БД MySQL (Create SAMS user in database):
$ mysql -u root -p
mysql> GRANT ALL ON squidctrl.* TO sams@localhost IDENTIFIED BY "yourpassword";
mysql> GRANT ALL ON squidlog.* TO sams@localhost IDENTIFIED BY "yourpassword";
2.2 Создаем таблицы SAMS (tables in database):
$ mysql -u root -p < /usr/share/sams/mysql/sams_db.sql
$ mysql -u root -p < /usr/share/sams/mysql/squid_db.sql
2.3 После этого правим конфиг SAMS /etc/sams.conf, все параметры я расписал:
$ nano /etc/sams.conf
# имя базы данных SAMS
SQUID_DB=squidlog
# имя базы данных, где SAMS хранит информацию, полученную из логов SQUID
SAMS_DB=squidctrl
# адрес хоста, где стоит MySQL
MYSQLHOSTNAME=localhost
# имя пользователя MySQL, от которого будет работать SAMS
MYSQLUSER=sams
# пароль этого же пользователя в MySQL
MYSQLPASSWORD= Ваш_пароль_пользователя_sams
# наша установленная версия MySQL
MYSQLVERSION=5.0
# имя файла логов SQUID
SQUIDCACHEFILE=access.log
# директория, где лежит конфиг SQUID
SQUIDROOTDIR=/etc/squid
# директория, где лежит файл логов SQUID
SQUIDLOGDIR=/var/log/squid
# путь к кэшу SQUID
SQUIDCACHEDIR=/var/spool/squid
# путь, где лежит SAMS
SAMSPATH=/usr
# путь, где лежит SQUID
SQUIDPATH=/usr/sbin
SQUIDGUARDLOGPATH=/var/log
SQUIDGUARDDBPATH=/etc/squid
# Если вы хотите использовать NTLM или AD авторизацию и у вас есть имена пользователей на руссокм языке, то перекодирования имен пользователей из используемой кодировки в dos-866
RECODECOMMAND=iconv -f KOI8-R -t 866 %finp > %fout
# используем авторизацию в Active Directory, редактируем эти пункты
LDAPSERVER=ip адрес или имя сервера Active Directory
# ваш домен
LDAPBASEDN=EXAMPLE.COM
# имя пользователя, входщего в группу администраторы домена
LDAPUSER=usernameadmin
# пароль
LDAPUSERPASSWD=passward
# группа, в которую входят пользователи доменаю Для AD это обычно Users
LDAPUSERSGROUP=Users
# использовать редиректор REJIK
REJIKPATH=/usr/local/rejik
# Команда, выполняемая при нажатии на кнопку (SAMS->"Shutdown proxy server").
# Данная команда добавлена для удобства удаленного выключения прокси сервера.
SHUTDOWNCOMMAND=shutdown -h now
# Номер прокси-сервера SQUID, зарегистрированного в SAMS.
# SAMS поддерживает возможность управлениями несколькими прокси серверами SQUID.
CACHENUM=0
2.4 Редактируем /etc/init.d/sams и изменяем SAMS_ENABLE="false" на "true".
$ nano /etc/init.d/sams
SAMS_ENABLE=true
2.5 Настройка Apache и PHP:
Пакет sams-web уже содержит конфигурационный файл для web-сервера apache для работы SAMS по адресу http://<адрес сервера>/sams/.
Редактируем конфиг PHP /etc/php5/apache2/php.ini:
$ nano /etc/php5/apache2/php.ini:
C версии 1.0 SAMS работает в safe_mode php
Настриваем php для работы в режиме safe mode, для этого выставляем параметр safe_mode:
safe_mode = On
так же SAMS для некоторых функций WEB интерфейса использует системные команды, например wbinfo.В режиме safe_mode php блокирует доступ к системным командам.Php позволяет выполнять системные команды, расположенные в каталоге,заданном параметром safe_mode_exec_dir.Изменяем этот параметр:
safe_mode_exec_dir = "/usr/share/sams/bin"
Далее разрешаем исполнение системных скриптов из кода php.Ищем в файле конфигурации параметр и убираем из него запрет вызова функций phpinfo system shell_exec exec:
disable_functions = "chdir,dl,ini_get_all,popen,proc_open,passthru,pcntl_exec"
2.6 Перезапускаем службы:
$ /etc/init.d/apache2 restart
$ /etc/init.d/sams start
3. Ставим Rejik (Режик)
Для начало ставим библиотеку pcre, в дистрибутивах Debian и Ubuntu библиотека разбита на две части: libpcre3 libpcre3-dev, нужны обе.
$ aptitude install libpcre3 libpcre3-dev
Берем с офсайта http://www.rejik.ru/index_ru_11_1.html последнию версию на момент написания это redirector-3.2.8
$ wget http://www.rejik.ru/download/redirector-3.2.8.tgz
$ tar -xzf redirector-3.2.8.tgz
$ cd redirector-3.2.8
Скачиваем банлисты:
$ wget http://www.rejik.ru/download/banlists-2.x.x.tgz
$ $ tar -xzf banlists-2.x.x.tgz
Смотрим под каким пользователем работает squid, и что за группа (для Debian и Ubuntu это proxy:proxy)
$ nano /etc/squid/squid.conf
cache_effective_user proxy
cache_effective_group proxy
или
$ ps aux | grep squid
Открываем для редактирования Makefile и правим значения SQUID_USER и SQUID_GROUP на нашего пользователя и группу (proxy:proxy).
Собираем и устанавливаем
$ make
$ make install
Перемещаем туда наши бан листы:
$ mv banlists /usr/local/rejik3/
Переходим в каталог куда он установился
$ cd /usr/local/rejik3/
Редактируем конфиг:
$ cp /usr/local/rejik3/redirector.conf.dist /usr/local/rejik3/redirector.conf
в конфиге путь к логам указан в ту же папку куда установлен и сам rejik (/usr/local/rejik3/),
для удобства переношу логи в папку (/var/log/squid) и создаю там лог-файлы которые прописанны в конфиге:
$ cd /var/log/squid
$ touch redirector.log redirector.err
Ставим права:
$ chown proxy:proxy redirector.log (redirector.err)
Меняем наши пути:
$ nano /usr/local/rejik3/redirector.conf
error_log /var/log/squid/redirector.err
change_log /var/log/squid/redirector.log
Так же выставляем на папку banlists права (proxy:proxy):
$ chown -R proxy:proxy banlists/*
Из папки /usr/local/rejik3/tools запускаем:
$ ./check-redirector
http://127.0.0.1/ban/porno.html 127.0.0.1/- - GET
Идем в наши логи и смотрим - для нас важна в redirector.log строчка:
2010-09-20 16:19:09 [26671] Redirector start and working (3.2.8)
если что смотрим что он хочет и исправляем.
Продолжения следует ....