这是我最近设置的,并且是一个非常大的痛苦.我的环境正在变得鱿鱼无法对 Windows 2008 Server进行Windows 7客户端身份验证. NTLM实际上不是一个选项,因为使用它需要在每个客户端上更改注册表.

自从Windows 2000以来,MS一直在推荐Kerberos,所以现在终于可以开始使用该程序了.

很多,非常感谢Squid邮件列表中的Markus Moeller帮助实现这一目标.

这是使用Squid 3.0设置的,也已经过Squid 3.1测试,应该与Squid 2.7一起使用.您的Windows用户必须是Active Directory中SQUID_USERS组的成员(无论如何都是这种情况).

在Windows方面,Windows XP和Windows 2007已针对Windows 2008和Windows XP针对Windows 2003进行了测试.

请注意,几乎每个步骤都需要前面的步骤.

如果您遇到问题,DNS始终是第一个看的地方.两台Windows机器都应该能够通过名称ping Linux服务器(反之亦然),您可能需要运行ipconfig / flushdns.重新启动也可能有所帮助,如果你想确定没有任何问题.

域信息

> Windows域名：dom.local
>域服务器：server.dom.local,172.17.3.11
> CentOS squid服务器：centos.dom.local,172.17.3.10

域服务器设置

>在DNS配置中创建dom.local反向区域.
>为centos.dom.local创建指向172.17.3.10的静态(‘A’)记录,当询问是否要设置反向PTR时选择是.

Windows 2008

对于Windows 2008服务器,您需要安装Hotfix 951191.

Linux安装程序

小包装

安装包

$yum install -y cyrus-sasl-gssapi cvs autoconf automake openldap openldap-devel krb5-workstation krb5-devel gcc-c++

安装msktutil.您需要在构建之前对其进行修补.

$wget http://download.systemimager.org/~finley/msktutil/msktutil_0.3.16.orig.tar.gz
$wget http://download.systemimager.org/~finley/msktutil/msktutil_0.3.16-7.diff.gz
$gunzip msktutil_0.3.16-7.diff.gz
$tar zxf msktutil_0.3.16.orig.tar.gz
$cd msktutil-0.3.16
$patch < ../msktutil_0.3.16-7.diff
$./configure && make && make install

编译最新的squid_kerb_ldap.

$cvs -z3 -d:pserver:anonymous@squidkerbauth.cvs.sourceforge.net:/cvsroot/squidkerbauth co -P squid_kerb_ldap
$cd squid_kerb_ldap
$./configure && make

DNS

使用system-config-network配置域控制器的DNS点,将主机名设置为centos.dom.local.

重启

检查反向DNS工作正常：
$dig -x 172.17.3.10

你应该在答案部分获得centos.dom.local.如果你不这样做,那就没有意义了.如果没有正确配置DNS,Kerberos身份验证将无法运行.

Kerberos的

你的krb.conf应该是这样的：

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = DOM.LOCAL
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h

# For Windows XP:
 default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
 default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
 permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

# For Windows 2007:
# default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
# default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
# permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
 forwardable = yes

[realms]
 DOM.LOCAL = {
  kdc = 172.17.3.11:88
  admin_server = 172.17.3.11:7491
  default_domain = dom.local
 }

[domain_realm]
 .dom.local = DOM.LOCAL
 dom.local = DOM.LOCAL

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

创建密钥表：

$kinit administrator
$msktutil -c -b "CN=COmpuTERS" -s HTTP/centos.dom.local -h centos.dom.local -k /etc/HTTP.keytab --computer-name centos-http --upn HTTP/centos.dom.local --server server.dom.local --verbose

对于Windows 2008,您需要将–enctypes 28添加到msktutil命令.

乌贼

安装鱿鱼：

$wget http://www.squid-cache.org/Versions/v3/3.0/squid-3.0.STABLE18.tar.gz
$tar zxvf squid-3.0.STABLE18.tar.gz 
$cd squid-3.0.STABLE18
$./configure --enable-negotiate-auth-helpers=squid_kerb_auth --enable-stacktraces --prefix=/opt/squid-3.0
$make
$make install
$cp helpers/negotiate_auth/squid_kerb_auth/squid_kerb_auth /opt/squid-3.0/sbin/
$cp ~/squid_kerb_ldap/squid_kerb_ldap /opt/squid-3.0/sbin/
$cd /opt/squid-3.0/
$mv etc/squid.conf etc/squid.conf.ORIG

在squid.conf中设置适当的参数：

auth_param negotiate program /opt/squid-3.0/sbin/squid_kerb_auth -d -s HTTP/centos.dom.local
auth_param negotiate children 10
auth_param negotiate keep_alive o

external_acl_type SQUID_KERB_LDAP ttl=3600  negative_ttl=3600  %LOGIN /opt/squid-3.0/sbin/squid_kerb_ldap -d -g SQUID_USERS
acl AUTHENTICATED proxy_auth required
acl LDAP_GROUP_CHECK external SQUID_KERB_LDAP
acl localnet src 172.17.3.0/24        # RFC1918 possible internal network

#http_access allow localnet
#http_access allow AUTHENTICATED
http_access allow LDAP_GROUP_CHECK

cache_dir ufs /var/cache/squid-3.0 100 16 256
access_log /var/log/squid-3.0/access.log squid
cache_log /var/log/squid-3.0/cache.log
cache_store_log /var/log/squid-3.0/store.log
pid_filename /var/run/squid-3.0.pid
cache_effective_user squid
cache_effective_group squid
coredump_dir /var/cache/squid-3.0

设置用户和目录：

$chown -R squid:squid /opt/squid-3.0/
$mkdir /var/cache/squid-3.0
$chown -R squid:squid /var/cache/
$mkdir /var/log/squid-3.0
$chown -R squid:squid /var/log/squid-3.0/
$chown squid:squid /etc/HTTP.keytab

创建缓存：

$/opt/squid-3.0/sbin/squid -z

初始化脚本

现在这很重要：Squid需要一些环境变量设置才能正常运行.执行此操作的最佳方法是使用init脚本.这是一个略有编辑的CentOS：

#!/bin/bash
# squid     This shell script takes care of starting and stopping
#       Squid Internet Object Cache
#
# chkconfig: - 90 25
# description: Squid - Internet Object Cache. Internet object caching is \
#   a way to store requested Internet objects (i.e.,data available \
#   via the HTTP,FTP,and gopher protocols) on a system closer to the \
#   requesting site than to the source. Web browsers can then use the \
#   local Squid cache as a proxy HTTP server,reducing access time as \
#   well as bandwidth consumption.
# pidfile: /var/run/squid-3.0.pid
# config: /opt/squid-3.0/etc/squid.conf

PATH=/usr/bin:/sbin:/bin:/usr/sbin
export PATH

# Source function library.
. /etc/rc.d/init.d/functions

# Source networking configuration.
. /etc/sysconfig/network

# don't raise an error if the config file is incomplete
# set defaults instead:
SQUID_OPTS=${SQUID_OPTS:-"-D"}
SQUID_PIDFILE_TIMEOUT=${SQUID_PIDFILE_TIMEOUT:-20}
SQUID_SHUTDOWN_TIMEOUT=${SQUID_SHUTDOWN_TIMEOUT:-100}

KRB5_KTNAME=/etc/HTTP.keytab
export KRB5_KTNAME

# determine the name of the squid binary
[ -f /opt/squid-3.0/sbin/squid ] && SQUID=/opt/squid-3.0/sbin/squid

prog="$SQUID"

# determine which one is the cache_swap directory
CACHE_SWAP=`sed -e 's/#.*//g' /opt/squid-3.0/etc/squid.conf | \
    grep cache_dir |  awk '{ print $3 }'`
[ -z "$CACHE_SWAP" ] && CACHE_SWAP=/var/spool/squid-3.0

RETVAL=0

start() {

        #check if the squid conf file is present
        if [ ! -f /opt/squid-3.0/etc/squid.conf ]; then
            echo "Configuration file /opt/squid-3.0/etc/squid.conf missing" 1>&2
            exit 6
        fi
        . /etc/sysconfig/squid

        # don't raise an error if the config file is incomplete.
        # set defaults instead:
        SQUID_OPTS=${SQUID_OPTS:-"-D"}
        SQUID_PIDFILE_TIMEOUT=${SQUID_PIDFILE_TIMEOUT:-20}
        SQUID_SHUTDOWN_TIMEOUT=${SQUID_SHUTDOWN_TIMEOUT:-100}

        if [ -z "$SQUID" ]; then
                echo "Insufficient privilege" 1>&2
                exit 4
        fi

        for adir in $CACHE_SWAP; do
        if [ ! -d $adir/00 ]; then
         echo -n "init_cache_dir $adir... "
         $SQUID -z -F -D >> /var/log/squid-3.0/squid.out 2>&1
    fi
    done
    echo -n $"Starting $prog: "
    $SQUID $SQUID_OPTS >> /var/log/squid-3.0/squid.out 2>&1
    RETVAL=$?
    if [ $RETVAL -eq 0 ]; then
       timeout=0;
       while : ; do
          [ ! -f /var/run/squid-3.0.pid ] || break
      if [ $timeout -ge $SQUID_PIDFILE_TIMEOUT ]; then
         RETVAL=1
         break
      fi
      sleep 1 && echo -n "."
      timeout=$((timeout+1))
       done
    fi
    [ $RETVAL -eq 0 ] && touch /var/lock/subsys/squid-3.0
    [ $RETVAL -eq 0 ] && echo_success
    [ $RETVAL -ne 0 ] && echo_failure
    echo
    return $RETVAL
}

stop() {
    . /etc/sysconfig/squid

    # don't raise an error if the config file is incomplete.
    # set defaults instead:
    SQUID_SHUTDOWN_TIMEOUT=${SQUID_SHUTDOWN_TIMEOUT:-100}

    echo -n  $"Stopping $prog: "
    $SQUID -k check >> /var/log/squid-3.0/squid.out 2>&1
    RETVAL=$?
    if [ $RETVAL -eq 0 ] ; then
        $SQUID -k shutdown &
        rm -f /var/lock/subsys/squid-3.0
    timeout=0
    while : ; do
        [ -f /var/run/squid-3.0.pid ] || break
        if [ $timeout -ge $SQUID_SHUTDOWN_TIMEOUT ]; then
            echo
            return 1
        fi
        sleep 2 && echo -n "."
        timeout=$((timeout+2))
        done
    echo_success
    echo
    else
        echo_failure
    echo
    fi
    return $RETVAL
}

reload() {
    . /etc/sysconfig/squid
    # don't raise an error if the config file is incomplete.
    # set defaults instead:
    SQUID_OPTS=${SQUID_OPTS:-"-D"}

    $SQUID $SQUID_OPTS -k reconfigure
}

restart() {
    stop
    start
}

condrestart() {
    [ -e /var/lock/subsys/squid-3.0 ] && restart || :
}

rhstatus() {
    status $SQUID && $SQUID -k check
}

probe() {
    return 0
}

case "$1" in
start)
    start
    ;;

stop)
    stop
    ;;

reload)
    reload
    ;;

restart)
    restart
    ;;

condrestart)
    condrestart
    ;;

status)
    rhstatus
    ;;

probe)
    exit 0
    ;;

*)
    echo $"Usage: $0 {start|stop|status|reload|restart|condrestart}"
    exit 2
esac

exit $?

这些是重要的路线：

KRB5_KTNAME=/etc/HTTP.keytab
export KRB5_KTNAME

客户端机器

使用端口3128将代理设置为服务器centos.dom.local.使用完全限定的域名而不是IP地址非常重要.

解决方法

Microsoft 将于 2020 年 1 月 14 日停止对 Windows 7 的支持，届时将不再提供以下内容：

任何问题的技术支持
软件更新
安全更新或修复

你仍可以继续使用运行 Windows 7 的电脑，但如果没有持续软件和安全更新，电脑遭受病毒和恶意软件攻击的风险会更大。从目前开始，保持安全的最好方式是采用 Windows 10。而使用新电脑是体验 Windows 10 的最好方式。虽然可以在旧设备上安装 Windows 10，但这不是建议做法。

对Windows 7 的支持已近尾声
历经 10 年，对 Windows 7 的支持已近尾声 — 2020 年 1 月 14 日。

 

以下 Windows Server 2008 和 2008 R2 产品支持即将结束：

产品：	外延支持的终点
Windows Server 2008 Datacenter	2020 年 1 月 14 日
Windows Server 2008 Datacenter（无 Hyper-V）	2020 年 1 月 14 日
Windows Server 2008 Enterprise	2020 年 1 月 14 日
Windows Server 2008 Enterprise（无 Hyper-V）	2020 年 1 月 14 日
Windows Server 2008 for Itanium-Based Systems	2020 年 1 月 14 日
Windows Server 2008 基础版	2020 年 1 月 14 日
Windows Server 2008 R2 Datacenter	2020 年 1 月 14 日
Windows Server 2008 R2 企业版	2020 年 1 月 14 日
Windows Server 2008 R2 for Itanium-Based Systems	2020 年 1 月 14 日
Windows Server 2008 R2 标准版	2020 年 1 月 14 日
Windows Server 2008 Standard	2020 年 1 月 14 日
Windows Server 2008 Standard（无 Hyper-V）	2020 年 1 月 14 日

我们建议你在支持结束日期之前迁移到 Azure 或升级到当前的产品版本。 这使你可以充分利用最新的产品创新，并确保获得 Microsoft 的不间断支持。

注意：以下 Server 产品不具备“延期安全更新”资格：

产品：	外延支持的终点
Microsoft Hyper-V Server 2008	2020 年 1 月 14 日
Microsoft Hyper-V Server 2008 R2	2020 年 1 月 14 日
Windows HPC Server 2008	2020 年 4 月 14 日
Windows HPC Server 2008 R2	2020 年 4 月 14 日
Windows HPC Server 2008（不带 Hyper-V）	2020 年 4 月 14 日
Windows Server Update Services 3.0	2009 年 7 月 14 日
Windows Server Update Services 3.0 SP1	2010 年 10 月 12 日
Windows Server Update Services 3.0 SP2	2020 年 1 月 14 日
Windows Storage Server 2008 基本版	2020 年 1 月 14 日
Windows Storage Server 2008 基本版（32 位）	2020 年 1 月 14 日
Windows Storage Server 2008 基本版（嵌入式）	2020 年 1 月 14 日
Windows Storage Server 2008 基本版（嵌入式，32 位）	2020 年 1 月 14 日
Windows Storage Server 2008 企业版	2020 年 1 月 14 日
Windows Storage Server 2008 企业版（嵌入式）	2020 年 1 月 14 日
Windows Storage Server 2008 R2	2020 年 1 月 14 日
Windows Storage Server 2008 R2 基本版	2020 年 1 月 14 日
Windows Storage Server 2008 标准版	2020 年 1 月 14 日
Windows Storage Server 2008 标准版（嵌入式）	2020 年 1 月 14 日
Windows Storage Server 2008 工作组版	2020 年 1 月 14 日
Windows Storage Server 2008 工作组版（嵌入式）	2020 年 1 月 14 日

 

 

参考：
https://www.microsoft.com/zh-cn/windows/windows-7-end-of-life-support-information?icid=CXSMC_win7upgrade

https://support.microsoft.com/zh-cn/help/4456235/end-of-support-for-windows-server-2008-and-windows-server-2008-r2

当您想在IIS 6.0( Windows Server 2003)上启用HTTP压缩时,您需要做很多事情/考虑.

有人可以提供一个完整的列表,列出您为正确启用HTTP压缩所必须采取的措施吗？

> HTTP COMPRESSION in IIS 6 and IIS 7 using Service Account
> TechNet – Enabling HTTP Compression
> IIS Compression in IIS6.0
> How to enable HTTP compression (IIS6)
> HTTP Compression and IIS 6.0
> IIS 6 Compression – quickest and effective way to do it for ASP.NET compression

更新：

要验证压缩是否有效,您可以将Firefox与Firebug和YSlow插件一起使用,它们将显示每个组件的压缩状态(html,javascript,css).

另外,为了测试每种压缩方法(gzip / deflate),您可以在Firefox中更改“network.http.accept-encoding”首选项(默认值为“gzip,deflate”)