На объекте примерно 80 машин, 80+-3 принтеров и 4 ксерокса. На объекте работают только бухгалтерия и юристы. Ну и как обычно полагается для обычной офисной работы (интернет, общая обменная папка, обмен мгновенными сообщениями).
С самого начало стояла старенькая машинка и умела она только раздавать интернет через CCcproxy и служила машинка ещё как обменная папка. На протяжение долго времени мне не давала покоя такая ситуация, были перепробованы и другие программные обеспечения для обеспечения интернета на рабочем месте (UserGate, Kerio Winroute) но лишний раз только убедился, что Windows Server это самое страшное, что может быть.
Собрав все свои силы, почитав сообщества пользователей Linux, нашел всю нужную информацию и приступил к работе. После осуществления задуманного и вздохнув спокойно, решил написать и поделиться своим опытом и в исходе написанного опыта надеюсь получить какие-то замечания для дальнейшего администрирования.
От поставленной себе задачи требовалось:
1. Найти новую живую машину для осуществления задуманного
2. Обеспечить все рабочие места интерном, выбрал в качестве ПО (Squid3)
3. Обеспечить все рабочие места возможностью обмена мгновенными сообщениями (OpenFire)
4. Обеспечить все рабочие места общей обменной папкой для работы с документами (Samba)
Основой послужила простенькая машинка (явно будет лучше), да и выбирать особого случая не было:
AMD FX(tm) – 6100 Six-Core Processor x 6
Seagate SATA 6GB/s – 500GB 3.5-7200-16Mb
RAM DIMM-4096-1333Mhz-DDR3
В качестве операционной системы был выбран популярный дистрибутив Linux Ubuntu 13.04. После сборки машины, незамедлительно приступил к установке дистрибутива Linux Ubuntu 13.04. Естественно пошли сразу волнения, ранее читал, что каждый пользователь Linux в первые несколько раз обязательно все сломает, ну так и получилось, а как до сих пор не понял и стал уже понимать, что это не Windows здесь так нельзя.
После небольшого освоения Ubuntu я решил приступить к следующему шагу, обеспечить рабочие места интернетом, выбор для данного решения мне попался Squid3, почитав документацию и сообщества, я сразу понял, это то что надо и как вижу на данный момент, не ошибся.
Установка Squid3:
Версия была выбрана из стандартного репозитория Squid3 3.1.20, т.к. грамотно собирать из source я еще не освоил, решил поступить обычным способом.
sudo -i
apt-get install install squid3
Сразу создать резервную копию оригинальной конфигурации, подумал, что пригодиться и не раз.
mv /etc/squid3/squid.conf /etc/squid3/squid.conf.back
Создал раздел для хранения кэша и естественно сразу же настроил права доступа
mkdir /tmp/squid3-cache
После выполнения этих несложных операций, приступил к созданию своего конфигурационного файла. Было также решено, авторизация пользователей по IP адресам, как и было без всяких паролей и логинов и разбитие пользователей на группы, ограничение по скорости, времени доступа и доступ только на определенные ресурсы и т.д. Конфигурацию привожу в данном топике рабочую, только изменив адреса машин.
nano /etc/squid3/squid.conf
http_port 2201
icp_port 0
maximum_object_size 8192 KB
minimum_object_size 4 KB
access_log /var/log/squid3/access.log
cache_log none
cache_store_log none
emulate_httpd_log off
logfile_rotate 12
error_directory /usr/share/squid3/errors/Russian-1251
positive_dns_ttl 5 hours
negative_dns_ttl 10 minutes# Список разрешенных интернет-адресов без ограничения скорости
acl allow_site dstdom_regex domen.ru
acl allow_mail dstdom_regex mail-domen.ru# Установка ограничения доступа по времени в интернет
acl mtime_onlime time 13:00-14:30 18:00-20:00 # Каждый день в это время!# Списки групп пользователей по IP адресам
acl object_all src 192.168.1.0-192.168.1.130
acl object_root src 192.168.1.111 192.168.1.8
acl object_internet src 192.168.1.56 192.168.1.13 192.168.1.53 192.168.1.59
acl object_mtime src 192.168.1.51 192.168.1.52 192.168.1.60 192.168.1.57 192.168.1.15# Правила безопасности доступа в интернет
http_access allow object_root
http_access allow allow_site object_all
http_access allow object_internet
http_access allow allow_mail object_mtime
http_access allow object_mtime mtime_onlime
http_access deny alldelay_pools 2
delay_class 1 1
delay_access 1 allow object_root
delay_access 1 deny all
delay_parameters 1 -1/-1delay_class 2 1
delay_access 2 allow object_all
delay_access 2 allow object_mtime
delay_access 2 allow object_internet
delay_access 2 deny all
delay_parameters 2 512000/512000
В составление конфигурации помогла одна статья, к сожалению, ссылку потерял о чем очень сильно жалею а также очень сильно помогла родная документация и сообщество пользователей Ubuntu.
Теперь наверно требуется рассказать о данной конфигурации:
- 1. Всех пользователей на объекте сделал по группам: object_all, object_root, object_internet, object_mtime
- a. object_all – вошли все пользователи группы (192.168.1.0-192.168.1.130) —
- b. object_root – вошли пользователи администраторы (192.168.1.111 192.168.1.8)
- c. object_internet – вошли пользователи избранные (192.168.1.56 192.168.1.13 192.168.1.53 192.168.1.59)
- d. object_mtime – вошли пользователя по времени (192.168.1.51 192.168.1.52 192.168.1.60 192.168.1.57 192.168.1.15)
- 2. Теперь об ограничениях которые действуют на определенные группы:
- a. object_all – пользователям доступен только один ресурс с ограничением скорости 4мб/с
- b. object_root – ну тут понятно без ограничений по доступу, скорости и времени
- c. object_internet – пользователи имеющие доступ в интернет с ограничением скорости 4мб/с
- d. object_mtime – пользователи которые имеют доступ только на один почтовый ресурс и только с 13:00-14:30 18:00-20:00 имеют полный доступ к интернету но с ограничением скорости 4мб/с
И в конце темы про Squid скажу честно, установка заняла примерно 5 минут, а вот настройка с полным разбором полетов около 4,5 часов. Документация у Squid3 просто отличная редко, где можно увидеть грамотную документацию и очень много информации в сообществах.
В следующем топике, скорее всего завтра который закончу, опишу опыт установки и настройки обменной папки для документов и обмен моментальными сообщениями.
Уважаемые товарищи Хабра, прошу в сразу прощения за написание статьи, опыта написания некогда не было, не пинайте сильно.
ссылка на оригинал статьи http://habrahabr.ru/post/194384/
Добавить комментарий