Сетевое администрирование в UNIX, 04 лекция (от 15 марта)
Материал из eSyr's wiki.
Allena (Обсуждение | вклад)
(Новая: == SQUID == Мы рассматривали автризацию на прокси серевере. Сегодня рассмотрим на примере сквида. У него ...)
К следующему изменению →
Версия 23:32, 17 марта 2011
SQUID
Мы рассматривали автризацию на прокси серевере. Сегодня рассмотрим на примере сквида.
У него есть файл ыйгшвюсщта, он может включать разные директивы.
auth_param праметр с помощью которго сквид может аутентиф пользователя.
auth_param Win Access Directory -- сквид будет проводить авторизацию через виндовую АД.
При сборке самбы вы указваете что она если не сказано иное собирает автризующую программу, которую потом смотреть в smb.conf, где будет прописан сервер и какая авторизация. И соотв в скиде будет прписано две вещи
auth_param ntlm program path_to_bm/ntbm_auth --helper_protocol=squid-2.5-ntlmssp
Требуется две строчки потому что разные браузеры по разному обращаются к прокси серверу за авторизацией.
auth_param basic program path_to_bm/ntbm_auth --helper_protocol=squid-2.5-basic
Строчек может быть сколько угодно, сквид будет из применять по очереди, пока кто-нибудь не вернёт да, или не закончатся строчки.
В basic GHJNJRJKT JNLFTNCZ CNHJXRF KJUBY GHJ,TK GFHJKM/
Есть у нас программа с помощью которой сквид может проверить логин и пароль. Какон может понять кого пускать а кого не пускать. У нас есть acl.
В файле сквид конф
acl имя тип значение
Типы
src знач ип/маска
dst знач ип/маска
srcdomain знач дом имя
dstdomain зная дом имя
proxy_auth имя_польз(REQUIRED -- все авторизованные)
Скыид может сам хранить во ткрытом виде логин проль, тогда можно добавить тип
ident
acl all src 0.0.0.0
Ещё есть тип time -- время, день недели.
после всего этого правил, first wins.
http_access allow
http_access deny all #запретить всё, что не разрешилось предыдущими
Общий вид
http_access действие acl1
acl2
acl3
от ацлей берётся пересечение.
http_access -- открыть или закрыть доступ хттп.
Есть ещё http_port ip:port transparent
на каком прту слушать, транспарент -- обрабатывать пакеты без спец заголовоков(тогда естественно никакой авторизции или правил по именам пользователей).
refresh_pattern [-i] regex min % max options
позволяет менять политику сколько объект хранится в кэше прокси сервера. У каждого объекта по стандарту есть время жизни, через некоторое время она устаревает и её надо запрашивать анвоо. С помощью рефреш паттера мы можем ему сказать что картинка на самом деле может жить в кэше подольше. В опции мы можем сказать -i \gif$ 43200 100% 43200 reload_into_ims. Если пользователь запрашивает картинку то проксисерер сначала запросит время изменения кртинки. 43200 -- время в минутах сколько надо хранить.
моэно отсекать или разрешать кэшировать по ацлям, можно по размеру.
purge -- может или удалить объекты из кэша или их куда-нибудь сложить, если ам интересно что там было.
Можно завести делей пулы
delay_pools количество
После того как задали количество их можно конфигурировать. Бывают 3 типов, опредеяются словом
delay_class 1 общ_труба 2 общ и индив
3 общ сеть и индив
Определет ограничение в байтах/секунду на всех упомнятух, на всех и каждого,на всех, подсети и каждого.
Правила след вида
delay_access №(номер пула) действ acl
говорит какой номер какого класса
delay_parameters № общ сеть индив задаем скорости
delay_class 1 2 # первый пул второго классаа
параметры число/число -- с какой скоростью мы вкладываем в трубу, второе то скакой скоростью выходит.
пример
delay_parameters 1 -1/-1 1000/8000
в таком случае маленькие станички будут грузится со скорстью 8кбсек, а большие файлы со скоростью 1 кбсек. error_directory отсюда сквид берёт сообщения от том почему что-то не получилось. Например запретили какому то пользоателю доступ по ххтп кссес и хоите объяснить ему почму именно ему вы это сделали. с помощью команды
deny_info ERR_CUSTOM_DENY nopass
nopass -- значит без пароля, потом говорите что всем кто попал под запрещающие действие ацля нопасс показать конкретную страницу с таким то урлом.
Как задается сколько гд хранить?
never_direct действ ацл
always_direct
Если у вас запущены два прокси сервера -- более главный и более подчиненный, то подчиненному можно прписать главного с помощью команды peer. Если невер_директ, то подч никогда не скачивает, всегда запрашиает у старшего. Если алвейс_директ -- то никогда не ходит к главному. Акадо балуется организацией сетей из проксей.
Размер объектов которые мы сохраняем на диске задается
minimum_object_size
maximum_object_size
Где хранить определяется директиой
cahce_dir тип путь разм число_папок ч
например
ufs /usr/squidcache
Тип бывает
ufs файл объект
aufs в виде файлов но за счёт позикс нитей может обращ одновр к нескольким
diskd пытается собрать несколько запросов в один.
null
Можно прописать рид онли, тогда он будет только читать из кеша.