Squid и LDAP

Материал из Xgu.ru

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Короткая страница: http://xgu.ru/wiki/ldap/squid

На этой странице описывается как построить распределённую иерархию прокси-серверов Squid, так что бы они при этом получали информацию об ограничениях пользователей из каталога LDAP.

[править] Единый прокси-сервер для всей сети

Используется один Squid на всех

Существует распределённая сеть, единая на IP-уровне. Пользователи сети могут выходить к Web при помощи прокси-сервера. Используется единственный прокси-сервер.

При условии, что для соединения распределённых фрагментов сети используются низкоскоростные каналы связи, такой подход становится неэффективным:

• кэширование трафика выполняется в единственной точке, там где установлен прокси-сервер;
• низкоскоростные и дорогостоящие каналы заполняются трафиком, который можно было бы скэномить, если выполнять кэширование в сети филиала.

Простейшее решение — установить по одному прокси-серверу для каждого филиала и соединить их каскадом с центральным сервером. Это решение хорошо работает, при условии, что не используются никакие ограничения для работы пользователей в web и учёт их работы не выполняется. Если же ограничения используются, сразу же возникает вопрос с настройкой этих ограничений для каждого из прокси-серверов филиалов.

Оставить как есть нельзя, поскольку все пользователи филиалов теперь смешаются и будут выглядеть как один — прокси-сервер филиала.

Для того чтобы решить задачу, нужно хранить данные об ограничениях в каталоге LDAP и научить филиальные прокси-серверы им пользоваться.

[править] Отдельный прокси-сервер для каждого филиала

Ограничения пользователей Squid берёт из распределённого каталога с помощью протокола LDAP

Необходимо установить свой прокси-сервер для каждого филиала и соединить их каскадом с прокси-сервером центрального офиса. Прокси сервер должен брать информацию об ограничениях для пользователей в каталоге LDAP.

Каталог может быть как распределённым, то есть для каждого филиала создаётся собственная ветвь в каталоге, так и иметь одну общую ветвь для всех филиалов. Во втором случае будет создаваться трафик LDAP от филиалов к центральному офису (если не используется локальная реплика), но он будет меньше чем web-трафик, сэкономленный засчёт локального кэширования.

Мы будем рассматривать первый случай, когда для каждого филиала существует отдельная ветвь LDAP.

Для простоты условимся что у нас есть три филиала (в Одессе, Львове и Севастополе) и центральный офис в Киеве.

Центральный офис, Киев

• Домен DNS: example.com
• Домен LDAP: dc=example,dc=com
• Прокси-сервер: squid.example.com
• LDAP-сервер: ldap.example.com

Филиал, Львов

• Домен DNS: lv.example.com
• Домен LDAP: dc=lv,dc=example,dc=com
• Прокси-сервер: squid.lv.example.com
• LDAP-сервер: ldap.lv.example.com

Филиал, Одесса

• Домен DNS: od.example.com
• Домен LDAP: dc=od,dc=example,dc=com
• Прокси-сервер: squid.od.example.com
• LDAP-сервер: ldap.od.example.com

Филиал, Севастополь

• Домен DNS: cr.example.com
• Домен LDAP: dc=cr,dc=example,dc=com
• Прокси-сервер: squid.cr.example.com
• LDAP-сервер: ldap.cr.example.com

[править] Материалы по LDAP на xgu.ru

• LDAP
• Схема LDAP
• LDAP-репликация и Samba
• Squid и LDAP
• Sudo и LDAP
• Jabber и LDAP
• Apache и LDAP
• RADIUS и LDAP
• Asterisk и LDAP
• man-страницы:
  • man:ldapadd — добавление записей
  • man:ldapdelete — удаление записей
  • man:ldapmodify — модификация записей
  • man:ldapmodrdn — переименование записей
  • man/ldapsearch — поиск записей

Серверы LDAP:

• OpenDS
• OpenLDAP

[править] Материалы по прокси-серверу Squid на Xgu.ru

• Squid
• Squid и LDAP
• Squid, Kerberos и LDAP