III. 利用Kinit工具測試krb5的設置是否正確

　　執行下列命令：

[root@proxy ~]#　kinit administrator@COMPANY.COM

　　提示輸入用戶administrator的密碼，正確輸入密碼之后返回以下信息：

kinit: NOTICE: ticket renewable lifetime is 1 week

　　或直接返回到命令行狀態，其它提示信息均可能是出錯信息。請務必確認您的Linux系統與Windows域服務器的時間及時區設置一致，否則將無法正常與活動目錄服務器正常通信。

IV. Samba配置

　　因為我們此處并不涉及到真正的samba服務器的配置，所以并沒有將整個的配置內容放在這里，而僅僅只放了架設Squid代理服務器所需要的部分，如下所示：

1[global]
2idmap gid = 10000-20000
3idmap uid = 10000-20000
4password server = 192.168.21.21
5workgroup = COMPANY #域的NetBios名
6os level = 20
7encrypt passwords = yes
8security = ads #設置為Windows活動目錄安全-ADS驗證
9realm = COMPANY.COM #驗證域realm，必須大寫
10winbind use default domain = yes

　　以上列出來的項目均需要根據實際情況改動。

V. 通過ntlm驗證程序來測試之前所做的配置是否正確

在做測試之前，如必要時，請重新啟動Linux服務器。不過，你也可以嘗試僅重新啟動samba及winbind服務來達到同樣的目的（呵呵……這得看運氣！）：

[root@proxy ~]# service winbind restart
[root@proxy ~]# service smb restart

　　重啟系統或以上服務之后，執行以下命令：

[root@proxy ~]# ntlm_auth –username=administrator

　　提示輸入用戶administrator的密碼，正確輸入密碼之后返回以下信息：

NT_STATUS_OK: NT_STATUS_OK (0x0)

當返回的結果如上面所描述的話，則說明域賬號administrator已經通過了AD的認證。可以開始接下來的工作了。

VI. 配置NSS（Name Service Switch）

　　NSS是Name Service Switch的縮寫，具體功能請參考維基百科中的解釋http://en.wikipedia.org/wiki/Name_Service_Switch，具體配置如下：

passwd: files winbind
group: files winbind

　　其它部份無需改變。

VII. Squid的配置

　　既然是做代理服務器，Squid的設置當然是重中之重，下面，根據具體實現功能的不同，分別講述Squid的設置：

1. 為Squid配置第三方身份驗證程序

1#啟用squid-2.5-ntlmssp做為ntlm驗證模式的輔助協議
2auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
3auth_param ntlm children 5
4auth_param ntlm keep_alive on
5
6#啟用squid-2.5-basic做為基本驗證模式的輔助協議
7auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
8auth_param basic children 5
9auth_param basic realm Squid proxy-caching web server
10auth_param basic credentialsttl 2 hours
11auth_param basic casesensitive off
12
13#下面的這句參數是重點，保證了Squid可以針對不同的用戶組進行不同的訪問控制策略
14external_acl_type NT_global_group %LOGIN /usr/lib/squid/wbinfo_group.pl