Squid и LDAP

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.


Короткая страница: http://xgu.ru/wiki/ldap/squid

На этой странице описывается как построить распределённую иерархию прокси-серверов Squid, так что бы они при этом получали информацию об ограничениях пользователей из каталога LDAP.


Содержание

[править] Единый прокси-сервер для всей сети

Используется один Squid на всех

Существует распределённая сеть, единая на IP-уровне. Пользователи сети могут выходить к Web при помощи прокси-сервера. Используется единственный прокси-сервер.

При условии, что для соединения распределённых фрагментов сети используются низкоскоростные каналы связи, такой подход становится неэффективным:

  • кэширование трафика выполняется в единственной точке, там где установлен прокси-сервер;
  • низкоскоростные и дорогостоящие каналы заполняются трафиком, который можно было бы скэномить, если выполнять кэширование в сети филиала.

Простейшее решение — установить по одному прокси-серверу для каждого филиала и соединить их каскадом с центральным сервером. Это решение хорошо работает, при условии, что не используются никакие ограничения для работы пользователей в web и учёт их работы не выполняется. Если же ограничения используются, сразу же возникает вопрос с настройкой этих ограничений для каждого из прокси-серверов филиалов.

Оставить как есть нельзя, поскольку все пользователи филиалов теперь смешаются и будут выглядеть как один — прокси-сервер филиала.

Для того чтобы решить задачу, нужно хранить данные об ограничениях в каталоге LDAP и научить филиальные прокси-серверы им пользоваться.

[править] Отдельный прокси-сервер для каждого филиала

Ограничения пользователей Squid берёт из распределённого каталога с помощью протокола LDAP

Необходимо установить свой прокси-сервер для каждого филиала и соединить их каскадом с прокси-сервером центрального офиса. Прокси сервер должен брать информацию об ограничениях для пользователей в каталоге LDAP.

Каталог может быть как распределённым, то есть для каждого филиала создаётся собственная ветвь в каталоге, так и иметь одну общую ветвь для всех филиалов. Во втором случае будет создаваться трафик LDAP от филиалов к центральному офису (если не используется локальная реплика), но он будет меньше чем web-трафик, сэкономленный засчёт локального кэширования.

Мы будем рассматривать первый случай, когда для каждого филиала существует отдельная ветвь LDAP.

Для простоты условимся что у нас есть три филиала (в Одессе, Львове и Севастополе) и центральный офис в Киеве.

Kiev.png


Центральный офис, Киев

  • Домен DNS: example.com
  • Домен LDAP: dc=example,dc=com
  • Прокси-сервер: squid.example.com
  • LDAP-сервер: ldap.example.com


Lvov.gif


Филиал, Львов

  • Домен DNS: lv.example.com
  • Домен LDAP: dc=lv,dc=example,dc=com
  • Прокси-сервер: squid.lv.example.com
  • LDAP-сервер: ldap.lv.example.com


Odessa.gif


Филиал, Одесса

  • Домен DNS: od.example.com
  • Домен LDAP: dc=od,dc=example,dc=com
  • Прокси-сервер: squid.od.example.com
  • LDAP-сервер: ldap.od.example.com


Sevastopol.gif


Филиал, Севастополь

  • Домен DNS: cr.example.com
  • Домен LDAP: dc=cr,dc=example,dc=com
  • Прокси-сервер: squid.cr.example.com
  • LDAP-сервер: ldap.cr.example.com


[править] Материалы по LDAP на xgu.ru

Серверы LDAP:

[править] Материалы по прокси-серверу Squid на Xgu.ru