公司使用的代理服務(wù)器是基于Linux系統(tǒng)的，經(jīng)常會出現(xiàn)一些或多或少的問題。直接影響到用戶正常的Internet訪問。因為是以前的同事做的，再加上，本人一直忙于其它的項目，沒時間去調(diào)整，優(yōu)化。前不久，Linux系統(tǒng)突然無法進(jìn)入GNU/GNOME桌面環(huán)境，促使我下定決心重新規(guī)劃并部署一臺符合當(dāng)前應(yīng)用環(huán)境需要的代理服務(wù)器系統(tǒng)來。

　　在部署之前，我們先來看看現(xiàn)有的代理服務(wù)器的系統(tǒng)環(huán)境：該代理服務(wù)器采用的是基于Redhat Linux 8.x操作系統(tǒng)的以NCSAR為認(rèn)證模式的Squid 2.3 代理服務(wù)器。因系統(tǒng)比較陳舊，穩(wěn)定性有所欠缺，同時還存在以下不足之處：

　　1. 因Squid配置的問題，系統(tǒng)無法自動釋放Squid的Cache及日志所占用磁盤空間，經(jīng)常會因為磁盤空間不足而導(dǎo)致Squid停止服務(wù)，需要人為的去刪除cache及日志以釋放磁盤空間。

　　2. 需要在代理服務(wù)器上，為不同的用戶設(shè)置不同的密碼，以前公司職員并不多，倒不是很麻煩，但，隨著公司的發(fā)展，職員的數(shù)量大幅增加，加重了IT管理人員的工作負(fù)擔(dān)，同時，也非常難以保證與Windows域賬戶的一致知性；

　　3. 客戶端不能使用AD集成的賬戶認(rèn)證模式，用戶每次訪問Internet都需要重復(fù)的輸入用戶名及密碼，大大降低了用戶使用感受。

　　4. 沒有實現(xiàn)針對不同Internet訪問群體，設(shè)置不同的用戶權(quán)限；

　　5. 無法監(jiān)督用戶訪問Internet的行為，直接影響到公司網(wǎng)絡(luò)的正常商業(yè)行為。

　　據(jù)此，我們不難發(fā)現(xiàn)，此代理服務(wù)器需要經(jīng)常對其進(jìn)行維護(hù)，非常影響IT工作人員的工作效率。從公司現(xiàn)階段的實際情況出發(fā)，對代理服務(wù)器的功能重新規(guī)劃如下：

　　1. 能夠在一點條件下，自動回收被Squid占用的磁盤空間；

　　2. 利用AD服務(wù)器上的用戶賬號信息對用戶的身份進(jìn)行驗證，避免重復(fù)的設(shè)置用戶信息；

　　3. 提供三種用戶權(quán)限：

　　1. 拒絕所有權(quán)限；

　　2. 允許訪問Internet，但不允許下載視頻、音頻、可執(zhí)行文件等；

　　3. 不受限，可訪問任意Internet資源；

　　4. IT管理人員可以查看用戶訪問Internet的日志，監(jiān)督用戶訪問Internet的行為；

　　既然我們的目標(biāo)已經(jīng)非常明確了，我們就不再廢話，開始主題吧！

　　I. 系統(tǒng)環(huán)境：

　　1. CentOS 5.0 Linux

　　2. squid-2.6.STABLE6-4.el5

　　3. samba-3.0.23c-2.el5.2.0.2

　　4. sarg-2.2.1-1.el5.rf

　　5. winbind

　　6. krb5

　　II. 修改kerberos 5身份驗證服務(wù)的配置文件（非特殊說明，均工作在root用戶模式下）：

　　執(zhí)行下列命令：

修改后的krb5.conf為：