Squid и LDAP
Материал из Xgu.ru
Короткая страница: http://xgu.ru/wiki/ldap/squid
На этой странице описывается как построить распределённую иерархию прокси-серверов Squid, так что бы они при этом получали информацию об ограничениях пользователей из каталога LDAP.
Содержание |
[править] Единый прокси-сервер для всей сети
Существует распределённая сеть, единая на IP-уровне. Пользователи сети могут выходить к Web при помощи прокси-сервера. Используется единственный прокси-сервер.
При условии, что для соединения распределённых фрагментов сети используются низкоскоростные каналы связи, такой подход становится неэффективным:
- кэширование трафика выполняется в единственной точке, там где установлен прокси-сервер;
- низкоскоростные и дорогостоящие каналы заполняются трафиком, который можно было бы скэномить, если выполнять кэширование в сети филиала.
Простейшее решение — установить по одному прокси-серверу для каждого филиала и соединить их каскадом с центральным сервером. Это решение хорошо работает, при условии, что не используются никакие ограничения для работы пользователей в web и учёт их работы не выполняется. Если же ограничения используются, сразу же возникает вопрос с настройкой этих ограничений для каждого из прокси-серверов филиалов.
Оставить как есть нельзя, поскольку все пользователи филиалов теперь смешаются и будут выглядеть как один — прокси-сервер филиала.
Для того чтобы решить задачу, нужно хранить данные об ограничениях в каталоге LDAP и научить филиальные прокси-серверы им пользоваться.
[править] Отдельный прокси-сервер для каждого филиала
Необходимо установить свой прокси-сервер для каждого филиала и соединить их каскадом с прокси-сервером центрального офиса. Прокси сервер должен брать информацию об ограничениях для пользователей в каталоге LDAP.
Каталог может быть как распределённым, то есть для каждого филиала создаётся собственная ветвь в каталоге, так и иметь одну общую ветвь для всех филиалов. Во втором случае будет создаваться трафик LDAP от филиалов к центральному офису (если не используется локальная реплика), но он будет меньше чем web-трафик, сэкономленный засчёт локального кэширования.
Мы будем рассматривать первый случай, когда для каждого филиала существует отдельная ветвь LDAP.
Для простоты условимся что у нас есть три филиала (в Одессе, Львове и Севастополе) и центральный офис в Киеве.
Центральный офис, Киев
- Домен DNS: example.com
- Домен LDAP: dc=example,dc=com
- Прокси-сервер: squid.example.com
- LDAP-сервер: ldap.example.com
Филиал, Львов
- Домен DNS: lv.example.com
- Домен LDAP: dc=lv,dc=example,dc=com
- Прокси-сервер: squid.lv.example.com
- LDAP-сервер: ldap.lv.example.com
Филиал, Одесса
- Домен DNS: od.example.com
- Домен LDAP: dc=od,dc=example,dc=com
- Прокси-сервер: squid.od.example.com
- LDAP-сервер: ldap.od.example.com
Филиал, Севастополь
- Домен DNS: cr.example.com
- Домен LDAP: dc=cr,dc=example,dc=com
- Прокси-сервер: squid.cr.example.com
- LDAP-сервер: ldap.cr.example.com
[править] Материалы по LDAP на xgu.ru
- LDAP
- Схема LDAP
- LDAP-репликация и Samba
- Squid и LDAP
- Sudo и LDAP
- Jabber и LDAP
- Apache и LDAP
- RADIUS и LDAP
- Asterisk и LDAP
- man-страницы:
- man:ldapadd — добавление записей
- man:ldapdelete — удаление записей
- man:ldapmodify — модификация записей
- man:ldapmodrdn — переименование записей
- man/ldapsearch — поиск записей
Серверы LDAP:
[править] Материалы по прокси-серверу Squid на Xgu.ru
- Squid
- Squid и LDAP
- Squid, Kerberos и LDAP