怎么配置win2003终端服务器
Windows的IIS中有项配置使用集成的Windows验证,在AD的环境中我们可以通过启用集成的Windows验证来使用用户登陆Windows 系统的帐号进行认证,在用户访问网页时,IE会将用户的帐号凭据发往服务器自动做认证,不需要用户输入用户名和密码。最好的例子就是用户登陆 Outlook Web Access(OWA)。当我们利用Squid做代理服务器需要利用用户身份做认证是,用户每次访问网页,系统会提示用户输入用户名和密码,这样给用户带来很多麻烦,有没有方法集成Windows的帐号做认证呢?通过查找资料,发现实际上在Linux等系统下,利用SQUID集成SAMB同样可以集成 windows的认证,用户在通过访问代理服务器时自动利用登陆计算机的帐号做身份验证,对用户完全透明,不需要手动输入用户名及密码。下面是我进行 Squid集成Windows帐号认证的总结,希望对有这方面需求的朋友有所帮助,其中有什么不正确及有更好的方法也希望各位给予指点,共同研究进步。
1. 实现环境
FreeBSD 54 + Squid 25 + Samba 30 + Krb5
2. 软件包安装
Squid、Samba及Krb5均通过Ports安装最新版本。
3. Kerberos配置
Win2003系统默认通过Kerberos做身份验证,Kerberos验证需要安装Krb5软件包。配置文件及测试都很简单。Krb5的配置文件为/etc/krb5conf,配置如下
代码:
[logging]
default = FILE:/var/log/krb5libslog
kdc = FILE:/var/log/krb5kdclog
admin_server = FILE:/var/log/kadmindlog
[libdefaults]
default_realm = TESTCOM (验证域的realm,必须全部大写)
dns_lookup_realm = false
dns_lookup_kdb = false
[realms]
TESTCOM = {
kdc = 19216801:88 (域控制器名,可以是IP地址)
default_domain = TESTCOM (缺省域名,同样必须全部大写)
}
配置完成后可以通过Kinit工具进行测试方法如下
代码:
root# kinit [url=mailto:administrator@TESTCOM]administrator@TESTCOM[/url]
Password for [url=mailto:administrator@TESTCOM]administrator@TESTCOM[/url]
正确输入密码后系统返回
代码:
kinit: NOTICE: ticket renewable lifetime is 1 week
表示正确验证,如果返回有错误,检查krb5conf文件设置。
4. Samba配置
通常samba配置文件在/usr/local/etc/smbconf,编辑smbconf文件如下
注意,安装Samba是选择Winbind组件
代码:
[global]
log file = /var/log/samba/log%m
dns proxy = No
idmap gid = 10000-20000
server string = Samba Server
idmap uid = 10000-20000
password server = 19216801
workgroup = TEST (域的NetBios名)
os level = 20
encrypt passwords = yes
security = ads (设置为AD验证)
realm = TESTCOM (验证域realm,必须大写)
winbind use default domain = yes
max log size = 50
这里需要正确配置你的workgroup、Netbios名、realm,password servers(域控制器,可以有多台)。一旦配置正确,你可以使用net ads join将你的Samba主机加入AD中。输入
代码:
root# net ads join –U [url=mailto:administrator@TESTCOM]administrator@TESTCOM[/url]
将主机加入AD。
重新启动samba
代码:
/usr/local/etc/rcd/sambash restart
同时winbind也将重新启动。
5. 确认Samba主机帐号在AD中正确注册
使用wbinfo –t验证Samba主机已成功加入AD
代码:
root# wbinfo –t
系统返回
代码:
checking the trust secret via RPC calls succeeded
说明主机信任已成功建立
使用wbinfo –u 可以列出AD中注册的帐号信息。Wbinfo –g可以返回AD中的组信息。
6. 测试ntlm_auth验证
代码:
root# ntlm_auth --username=administrator
Password:
NT_STATUS_OK: NT_STATUS_OK (0x0)
说明域帐号administrator已成功验证
7. 配制NSS
Nss为Name Service Switch,控制帐号的验证。编辑/etc/nsswitchconf,如下
代码:
passwd: files winbind
group: files winbind
8. 配置Squid
在squidconf文件中增加
代码:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-25-ntlmssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-25-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 5 hours
acl NTLMUsers proxy_auth REQUIRED
http_access allow all NTLMUsers
配置Squid使用ntlm_auth验证,并允许验证用户通过代理服务器访问。
这里要注意一点,用户要通过验证squid必须能访问winbind pipe,否则用户不能通过Squid验证,我刚配置完成时就是因为这里总是不能通过squid身份验证。修改winbind pipe权限
代码:
root# chown -R root:squid /var/db/samba/winbindd_privileged
root#chmod -R 750 /var/db/samba/winbindd_privileged
9. 重新启动squid服务器,验证使用域用户身份验证。
如果使用域帐号登陆计算机,那么浏览网页时就不会提示输入用户名及密码认证,非域用户登陆计算机,通过代理访问网站时,IE将弹出用户身份验证窗口要求用户输入用户名及密码验证。
在squidconf中同样可以设置允许访问的域用户,及不允许访问的域用户。对于windows域用户来说,说有的验证都是透明的。不需要手动输入用户名及密码,方便用户的使用。
[color=Red]如果想通过域组的验证,可在
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-25-ntlmssp 和auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-25-basic 後加上这一句
--require-membership-of=DCDomain\\internet
"DCDomain":域名 "internet":上网组名[/color]
一、 IIS60综述。 IIS 60在Windows2003服务器的四种版本“企业版、标准版、数据中心版和Web版”中都包含有,它不能够运行在Windows XP、2000或NT上。除了本文开头介绍的Windows 2003 Web版本以外,Windows 2003的其余版本默认都不安装IIS;其跟以前IIS版本的差异也可谓很大,非常显著的能够提供POP3服务和POP3服务Web管理器支持。还有,在 windows2003下的IIS安装能够有三种方式:很多的“添加或删除程序”的“添加/删除Windows组件”方式、使用“管理您的服务器”向导和采取没有人值守的智能安装。
二、 IIS60安装过程。
我们或者采取熟悉的在控制面板里安装的方式进行,感觉此种方式比起在“管理您的服务器”窗口里
安装要灵活多数。在控制面板里依次选择“添加或删除程序”的“添加/删除Windows组件”;双击“应用程序服务器”,再双击“Internet信息服务”,选中“万维网服务”(注:此选项下还可进一步作选项筛选,请根据个人就得选用,如下图所示),点确定即安装完成。
内容
三、 配置IIS60。
说明:本文所述配置重在多数注意事项或重要设置方面,即与以前IIS版本的非常设置;而对于具体配置一个完整的WWW服务流程不在重点关注之内,我们能够参阅相关文章。
1同别的windows平台一样,这种时候默认Web站点能够启动了。但请我们注意,IIS60最初安装完成是只支持静态内容的(即不能够正常显示基于 ASP的页面内容),所以第1步要做的能够打开其动态内容支持功能。依次选择“开始”-“程序”-“管理软件”-“inter信息服务管理器”,在打开的 IIS管理窗口左面点“web服务扩展”;如下图所示,用鼠标所在的项“ASPNET v114322”还有“Active Server Pages”项采取(点允许)就能够。
内容
ASP NET解释:这是新一代的 Microsoft 服务器端脚本环境。它提供一种新的编程模式和结构,使 Web 设计者能够构架和部署比以前更安全、更灵活、更稳定的企业类 Web 应用程序。
2做的更好WAP应用。
WAP是Wireless Application Protocol,即没有线应用协议。同时这也是一个开展的全球标准,能够使移动电话和别的没有线终端的网民快速安全地获取互联网及企业内部网的信息及别的通信服务。配置路径在网站属性窗口的HTTP头下最后一个内容框“MIME类型”。点击右下角“MIME类型”后如下图所示,通过新建选项来注册MIME类型,确定就能够。
0条评论