如何安装和配置Dansguardian与多组过滤和Squid与NTLM Auth在Debian蚀刻

如何安装和配置Dansguardian与多组过滤和Squid与NTLM认证在Debian蚀刻

本教程介绍如何使用多组过滤安装和配置Dansguardian,具有NTLM auth,ipmasq和dnsmasq的Squid,为中小型网络提供完整的Internet网关解决方案。 为了防火墙和透明代理,此操作需要两个NIC。

仅使用基本系统安装Debian Etch。

配置基本系统

此操作方法假设您已配置以下配置:

eth0具有静态或动态IP作为外部NIC,eth1与静态地址为192.168.1.1/24作为内部NIC

基本系统安装不安装SSH,所以现在我们将这样做。

apt-get install ssh openssh-server

现在安装了SSH,您可以完成其余的操作
从SSH会话中,如果你愿意的话。

Etch中的ClamAV有一个错误,当您启动Dansguardian时,需要很长时间才能加载。 我们将设置Apt从Debian Backports获取更新版本的ClamAV,以避免这种情况。

编辑并将以下行添加到/etc/apt/sources.lst中

deb http://download.webmin.com/download/repository sarge contrib
deb http://www.backports.org/debian etch-backports main contrib non-free

/ etc / apt / preferences中添加以下信息会使Apt只从backports.org获取ClamAV。
注意:如果一个较新的版本然后ClamAV的“0.91.2”出来修复该错误的Etch,那么您可能不需要执行此步骤。

编辑/ etc / apt / preferences并输入以下内容:

Package: clamav
Pin: release a=etch-backports
Pin-Priority: 999
Package: clamav-base
Pin: release a=etch-backports
Pin-Priority: 999
Package: clamav-freshclam
Pin: release a=etch-backports
Pin-Priority: 999
Package: libclamav2
Pin: release a=etch-backports
Pin-Priority: 999

更新Apt,安装一些软件并配置Kerberos ...

apt-get update
apt-get install debian-backports-keyring
apt-get install dnsmasq webmin squid dansguardian samba winbind krb5-user libcompress-zlib-perl resolvconf ntp ntpdate

您将被问到以下问题:

注意:这些问题的答案区分大小写。 您必须按照下面的示例回答他们。

请指定您希望此服务器在客户端查询时显示的工作组。 < - EXAMPLELEDOMAIN

修改smb.conf以使用DHCP中的WINS设置? < - 不

您的领域的Kerberos服务器: < - domaincontroller.EXAMPLEDOMAIN.LOCAL

Kerberos领域的管理服务器: < - domaincontroller.EXAMPLEDOMAIN.LOCAL

dpkg-reconfigure krb5-config

还有一些问题。

默认Kerberos版本5领域: < - EXAMPLESLEDOMAIN.LOCAL

DNS是否包含您的领域的Kerberos服务器的指针? < - 是的

配置resolvconf和dnsmasq

许多互联网连接是动态的,因此当DNS服务器被pppd或dhcp更新时,可能导致Kerberos失败。 我们之前安装了resolvconf,这将有助于我们解决问题。

编辑/etc/resolvconf/resolv.conf.d/head并将搜索exampledomain.local添加到第3行。

DNSmasq是一个小型dns转发器和dhcp服务器,集成到resolvconf中

我们需要验证我们在/var/run/dnsmasq/resolv.conf中有正确的Nameservers
编辑它看起来像下面的例子。

nameserver <IP of domain controller>
nameserver <IP of primary ISP DNS server>
nameserver <IP of secondary ISP DNS server>

需要修改DNSmasq的配置文件,以获得最佳的性能和安全性。 编辑/etc/dnsmasq.conf使下面列出的修改更改。

nano -c /etc/dnsmasq.conf

取消第14行和第16行
取消注释线71,并将eth0添加到行尾。

目前,dnsmasq的DHCP功能已禁用,但如果要使用此功能,则建议从第100行开始,因为DHCP选项从那里开始。 还有一些高级选项可用于从307行开始的DNS,例如配置MX记录等。 还有更多的选择可用,但超出了这个操作的范围。

将域控制器设置为时间服务器

nano -c /etc/ntp.conf

注释掉/etc/ntp.conf中的第19行到第22行,并在第23行插入以下内容:

server domaincontroller.exampledomain.local iburst

配置Samba并加入域

首先制作一个/etc/samba/smb.conf的副本,然后编辑它。

cp /etc/samba/smb.conf /etc/samba/smb.conf.bak
nano -c /etc/samba/smb.conf

输入第53行接口= 192.168.1.1/255.255.255.0。
取消注释行59。
取消注释行91并更改为security = ads
取消注释线204和205。
在第217行之前添加以下行:

winbind trusted domains only = yes
realm = EXAMPLEDOMAIN.LOCAL
winbind cache time = 3600

重新启动samba,winbind并与域控制器同步时间。

net time set -S domaincontroller
/etc/init.d/samba restart
/etc/init.d/winbind restart

现在加入域名

net ads join -U Administrator

如果一切顺利,你应该能够成功地运行以下。

wbinfo -t

输出应该是“通过RPC调用成功检查信任秘密”

wbinfo -u

这应该列出域中的所有用户。

wbinfo -g

这应该列出域中的所有组。

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏