实例使用NTLM验证整合Squid及Samba3实现AD域用户认证

http://romexp.blog.163.com/blog/static/3610065200762614516829/

 

Windows的IIS中有项配置使用集成的Windows验证，在AD的环境中我们可以通过启用集成的Windows验证来使用用户登陆Windows 系统的帐号进行认证，在用户访问网页时，IE会将用户的帐号凭据发往服务器自动做认证，不需要用户输入用户名和密码。最好的例子就是用户登陆 Outlook Web Access（OWA）。当我们利用Squid做代理服务器需要利用用户身份做认证是，用户每次访问网页，系统会提示用户输入用户名和密码，这样给用户带来很多麻烦，有没有方法集成Windows的帐号做认证呢？通过查找资料，发现实际上在Linux等系统下，利用SQUID集成SAMB同样可以集成 windows的认证，用户在通过访问代理服务器时自动利用登陆计算机的帐号做身份验证，对用户完全透明，不需要手动输入用户名及密码。下面是我进行 Squid集成Windows帐号认证的总结，希望对有这方面需求的朋友有所帮助，其中有什么不正确及有更好的方法也希望各位给予指点，共同研究进步。
1．        实现环境
Fedora 7 + Squid 2.6 + Samba 3.0 + Krb5
2．        软件包安装
Squid、Samba及Krb5均通过yum安装最新版本。
3．        Kerberos配置
Win2003系统默认通过Kerberos做身份验证，Kerberos验证需要安装Krb5软件包。配置文件及测试都很简单。Krb5的配置文件为/etc/krb5.conf，配置如下

CODE:

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = TEST.COM （验证域的realm，必须全部大写）
dns_lookup_realm = false
dns_lookup_kdb = false

[realms]
TEST.C