基于开源方案实现企业网络代理与认证集成
1. 背景与需求分析
在企业网络环境中,Abmas Snack Foods 拥有数千名分布在总部、多个区域办公室、工厂和仓库的用户。由于大量业务工作依赖在线完成,所以大多数用户的互联网访问至关重要。所有互联网访问,包括区域办公室的访问,都通过总部进行,网络团队负责处理这一任务。最初,团队采用了 Microsoft ISA 作为解决方案,但该方案未能达到市场宣传的效果,性能不佳且存在可靠性问题。不过,团队对 ISA 与 Active Directory 的集成功能比较满意,即用户登录后可自动通过代理进行身份验证。因此,如果有替代方案能在其 Active Directory 域中无缝运行,将会被采纳。
该业务场景的关键需求包括:
- 为大多数员工提供互联网访问。
- 构建分布式系统以适应负载和用户的地理分布。
- 与现有的 Active Directory 域实现无缝透明的互操作性。
2. 技术原理分析
从技术角度来看,用户使用 Internet Explorer 向 Squid 代理请求浏览会话时,会提供其 AD 身份验证令牌。Squid 将身份验证请求传递给 Samba - 3 的认证辅助应用程序 ntlm auth。该辅助程序与 winbind(Samba - 3 的 NTLM 认证守护进程)相连,winbind 能使 UNIX 服务针对 Microsoft Windows 域(包括 Active Directory 域)进行身份验证。由于 Active Directory 认证是经过修改的 Kerberos 认证,winbind 会借助本地 Kerberos 5 库与 Active
