9. Настройка Proxy сервера¶
Настройка Proxy сервера производится в несколько этапов:
Установка Proxy сервиса в систему¶
Поддержка proxy сервиса появилась в пакете Calculate-server в версии 2.0.13. В качестве сервера используется наиболее распространенный proxy сервер Squid.
Перед установкой, убедитесь что у вас в системе установлен сервис LDAP, если он не был установлен, выполните установку командой:
cl-setup ldap
Установка proxy сервиса производится командой
cl-setup proxy
В этом случае сервис будет установлен с параметрами по умолчанию: имя хоста proxy сервиса - имя хоста машины, порт для соединения - 8080.
Установка сервиса с установкой доверительных сетей:
cl-setup -a proxyПри установке сервиса будут созданы базовые группы:
- http - доступный порт 80
- ftp - доступный порт 21
- https - доступный порт 443
- gopher - доступный порт 70
- wais - доступный порт 210
- unregistered - диапазон доступных портов 1025-65535
- http-mgmt - доступный порт 280
- gss-http - доступный порт 488
- filemaker - доступный порт 591
- multiling - доступный порт 777
- swat - доступный порт 901
Интервал обновления кэша изменений в правах доступа пользователей по умолчанию составляет 5 минут.
Управление учетными записями¶
Добавление учетной записи¶
Добавление учетной записи пользователя proxy сервиса осуществляется командой cl-useradd
# добавим пользователя _ivan_ с полным именем в комментарии cl-useradd -p -c "Ivanov Ivan" ivan proxy
Смена пароля¶
Смена пароля учетной записи осуществляется командой cl-passwd, пример:
cl-passwd ivan proxy
Удаление/блокировка учетной записи¶
Удаление учетной записи осуществляется командой cl-userdel, пример
cl-userdel ivan proxy
Блокировка учетной записи производится командой cl-usermod -L, пример
cl-usermod -L ivan proxy
Разблокировать учетную запись можно командой cl-usermod -U, пример
cl-usermod -U ivan proxy
Группы¶
Группа - набор учетных записей для применения правил доступа.
У группы есть параметр определяющий диапазон сетевых портов.
Пользователю разрешен доступ к ресурсу только в том случае, если доступ к порту, по которому происходит обращение, описывается одной из групп пользователя.
Управление группами¶
Создание группы
Создание группы proxy сервиса осуществляется командой cl-groupadd, пример создания группы "adsl":
cl-groupadd -p 80,83,2000-3000 adsl proxy
Пользователи добавленные в эту группу будут иметь доступ к сетевому порту 80 и 83, а также к диапазону сетевых портов 2000-3000, по которым может работать определенных сервис. Условно мы его называли "adsl".
Удаление группы
Удалить группу из сервиса можно командой cl-groupdel, пример:
cl-groupdel adsl proxy
Переименование группы
Переименовать существующую группу сервиса можно командой cl-groupmod, пример смены имени группы "adsl" на "adsl2":
cl-groupmod -n adsl2 adsl proxy
Изменение состава группы
Изменить описания групп можно при помощи команд ''cl-groupmod'' и ''cl-usermod''. Примеры:
Добавим пользователя ivan в группу 'http' (откроем пользователю доступ к сайтам)
cl-usermod -G http ivan proxy
Удалим пользователя ivan из группы 'http' (закроем доступ к сайтам)
cl-groupmod -d ivan http proxy
Добавим пользователей ivan и guest в группу http
cl-groupmod -a ivan,guest http proxy
Для того чтобы дать пользователю доступ к ftp, он должен иметь доступ к порту 21 и порту proxy сервера (по умолчанию 8080).
# Дать пользователю guest доступ к ftp cl-usermod -G ftp,unregistered guest proxy