企业官网建设流程全解析

基于开源方案实现企业网络代理与认证集成

1. 背景与需求分析

在企业网络环境中，Abmas Snack Foods 拥有数千名分布在总部、多个区域办公室、工厂和仓库的用户。由于大量业务工作依赖在线完成，所以大多数用户的互联网访问至关重要。所有互联网访问，包括区域办公室的访问，都通过总部进行，网络团队负责处理这一任务。最初，团队采用了 Microsoft ISA 作为解决方案，但该方案未能达到市场宣传的效果，性能不佳且存在可靠性问题。不过，团队对 ISA 与 Active Directory 的集成功能比较满意，即用户登录后可自动通过代理进行身份验证。因此，如果有替代方案能在其 Active Directory 域中无缝运行，将会被采纳。

该业务场景的关键需求包括：
- 为大多数员工提供互联网访问。
- 构建分布式系统以适应负载和用户的地理分布。
- 与现有的 Active Directory 域实现无缝透明的互操作性。

2. 技术原理分析

从技术角度来看，用户使用 Internet Explorer 向 Squid 代理请求浏览会话时，会提供其 AD 身份验证令牌。Squid 将身份验证请求传递给 Samba - 3 的认证辅助应用程序 ntlm auth。该辅助程序与 winbind（Samba - 3 的 NTLM 认证守护进程）相连，winbind 能使 UNIX 服务针对 Microsoft Windows 域（包括 Active Directory 域）进行身份验证。由于 Active Directory 认证是经过修改的 Kerberos 认证，winbind 会借助本地 Kerberos 5 库与 Active