如何安装和配置Dansguardian与多组过滤和Squid与NTLM认证在Debian蚀刻
本教程介绍如何使用多组过滤安装和配置Dansguardian,具有NTLM auth,ipmasq和dnsmasq的Squid,为中小型网络提供完整的Internet网关解决方案。 为了防火墙和透明代理,此操作需要两个NIC。
仅使用基本系统安装Debian Etch。
配置基本系统
此操作方法假设您已配置以下配置:
eth0具有静态或动态IP作为外部NIC,eth1与静态地址为192.168.1.1/24作为内部NIC
基本系统安装不安装SSH,所以现在我们将这样做。
apt-get install ssh openssh-server
现在安装了SSH,您可以完成其余的操作
从SSH会话中,如果你愿意的话。
Etch中的ClamAV有一个错误,当您启动Dansguardian时,需要很长时间才能加载。 我们将设置Apt从Debian Backports获取更新版本的ClamAV,以避免这种情况。
编辑并将以下行添加到/etc/apt/sources.lst中 :
deb http://download.webmin.com/download/repository sarge contrib deb http://www.backports.org/debian etch-backports main contrib non-free
在/ etc / apt / preferences中添加以下信息会使Apt只从backports.org获取ClamAV。 注意:如果一个较新的版本然后ClamAV的“0.91.2”出来修复该错误的Etch,那么您可能不需要执行此步骤。
编辑/ etc / apt / preferences并输入以下内容:
Package: clamav Pin: release a=etch-backports Pin-Priority: 999 Package: clamav-base Pin: release a=etch-backports Pin-Priority: 999 Package: clamav-freshclam Pin: release a=etch-backports Pin-Priority: 999 Package: libclamav2 Pin: release a=etch-backports Pin-Priority: 999
更新Apt,安装一些软件并配置Kerberos ...
apt-get update
apt-get install debian-backports-keyring
apt-get install dnsmasq webmin squid dansguardian samba winbind krb5-user libcompress-zlib-perl resolvconf ntp ntpdate
您将被问到以下问题:
注意:这些问题的答案区分大小写。 您必须按照下面的示例回答他们。
请指定您希望此服务器在客户端查询时显示的工作组。 < - EXAMPLELEDOMAIN
修改smb.conf以使用DHCP中的WINS设置? < - 不
您的领域的Kerberos服务器: < - domaincontroller.EXAMPLEDOMAIN.LOCAL
Kerberos领域的管理服务器: < - domaincontroller.EXAMPLEDOMAIN.LOCAL
dpkg-reconfigure krb5-config
还有一些问题。
默认Kerberos版本5领域: < - EXAMPLESLEDOMAIN.LOCAL
DNS是否包含您的领域的Kerberos服务器的指针? < - 是的
配置resolvconf和dnsmasq
许多互联网连接是动态的,因此当DNS服务器被pppd或dhcp更新时,可能导致Kerberos失败。 我们之前安装了resolvconf,这将有助于我们解决问题。
编辑/etc/resolvconf/resolv.conf.d/head并将搜索exampledomain.local添加到第3行。
DNSmasq是一个小型dns转发器和dhcp服务器,集成到resolvconf中
我们需要验证我们在/var/run/dnsmasq/resolv.conf中有正确的Nameservers
编辑它看起来像下面的例子。
nameserver <IP of domain controller> nameserver <IP of primary ISP DNS server> nameserver <IP of secondary ISP DNS server>
需要修改DNSmasq的配置文件,以获得最佳的性能和安全性。 编辑/etc/dnsmasq.conf使下面列出的修改更改。
nano -c /etc/dnsmasq.conf
取消第14行和第16行
取消注释线71,并将eth0添加到行尾。
目前,dnsmasq的DHCP功能已禁用,但如果要使用此功能,则建议从第100行开始,因为DHCP选项从那里开始。 还有一些高级选项可用于从307行开始的DNS,例如配置MX记录等。 还有更多的选择可用,但超出了这个操作的范围。
将域控制器设置为时间服务器
nano -c /etc/ntp.conf
注释掉/etc/ntp.conf中的第19行到第22行,并在第23行插入以下内容:
server domaincontroller.exampledomain.local iburst
配置Samba并加入域
首先制作一个/etc/samba/smb.conf的副本,然后编辑它。
cp /etc/samba/smb.conf /etc/samba/smb.conf.bak
nano -c /etc/samba/smb.conf
输入第53行接口= 192.168.1.1/255.255.255.0。
取消注释行59。
取消注释行91并更改为security = ads 。
取消注释线204和205。
在第217行之前添加以下行:
winbind trusted domains only = yes realm = EXAMPLEDOMAIN.LOCAL winbind cache time = 3600
重新启动samba,winbind并与域控制器同步时间。
net time set -S domaincontroller
/etc/init.d/samba restart
/etc/init.d/winbind restart
现在加入域名
net ads join -U Administrator
如果一切顺利,你应该能够成功地运行以下。
wbinfo -t
输出应该是“通过RPC调用成功检查信任秘密”
wbinfo -u
这应该列出域中的所有用户。
wbinfo -g
这应该列出域中的所有组。
