![]() |
Предоставление возможности сотрудникам компании работать с информацией в Интернете становится сегодня обычным вариантом организации труда. Где еще можно своевременно и быстро найти нужную информацию, разместить свою? Это одна сторона медали. Вторая заключается в том, что бесконтрольное использование этой возможности зачастую приводит к непомерно большим расходам на оплату времени доступа и трафика (зависит от того, по каким тарифам подключается компания). Решение есть, и оно заключается в полноценном учете трафика каждым из пользователей Интернета.
Если локальная сеть подключается к Интернету через сервер на базе .nix-системы, то можно предложить опробовать программу SAMS, автором которой является Дмитрий Чемерик. SAMS (SQUID Account Management System) представляет собой программное средство для настройки и администрирования доступа пользователей к прокси-серверу SQUID, сбора статистики пользователей.
![]() |
Для того, чтобы программа работала и выполняла свои функции, необходимо, чтобы на сервере были установлены программы: Apache, SAMBA, SQUID, MySQL и настроена NTLM-аутентификация. Последней может и не быть, если воспользоваться иными способами авторизации, предусмотренными в программе:
- NCSA-авторизация — веб-авторизации (формат Apache);
- IP — по IP-адресу компьютера пользователя.
Для совмещения с данными о пользователях в домене Windows необходима поддержка winbindДля авторизации системы в домене Windows требуется инсталляция сервера SMB протокола для *NIX систем SAMBA. При этом требуется обязательно скомпилировать SAMBA с поддержкой winbind. После инсталляции требуется настроить SAMBA на домен Windows и использование winbind. В частности, в файле smb.conf должны присутствовать строки:
[global]
workgroup = WORK — Имя нашего Windows-домена
netbios name = PDC — Имя сервера (необязательно)
server string = DomainController
hosts allow = 10.128. 127. — Для безопасности.
winbind separator = +
winbind use default domain = no
...
SQUID должен быть версии не ниже 2.5, поскольку только с этой версии поддерживается авторизация в домене Windows (NTLM-авторизация). В настройках squid.conf необходимо обратить внимание на то, чтобы NTLM авторизация шла первой, иначе будет применяться авторизация basic, и IE будет спрашивать пароль. Настройка MySQL заключается в создании пользователя, от имени которого будет работать программа. (Чаще всего пользователя вводят под тем же самым именем — sams.) После инсталляции SAMS нужно выполнить прилагаемые скрипты create_sams_db и create_squid_db. В результате их исполнения будут созданы базы MySQL, необходимые для работы SAMS.
![]() |
Для чтения записей прокси-сервера SQUID из файла access.log используется /usr/local/sams/bin/sams. Необходимо осуществлять запуск этой программы с периодичностью 1 раз в минуту. Если объем трафика выделяется пользователю на месяц, нужно предусмотреть очистку счетчика пользователя 1 числа каждого месяца. SAMS ведет учет объема информации, полученной пользователями. При превышении объема информации, пользователь отключается от доступа к прокси-серверу.
При конифгурировании программы можно заменить ссылки на баннеры ссылкой на локальный файлКонфигурирование SAMS происходит путем выставления значений в файле /etc/sams.conf и в форме конфигурирования SAMS. В файле /etc/sams.conf хранятся значения, необходимые для подключения к MySQL и работы консольных программ. В интерфейсе администрирования можно выставить значения:
- Способ аутентификации пользователя — по IP адресу пользователя или через авторизацию в домене;
- файл перенаправления запроса — URL рисунка, на который будут заменяться баннеры, счетчики и т.п.;
- файл запрета запроса — файл, который будет выводится пользователю, если доступ к данному URL ему запрещен;
- Редиректор — один из редиректоров, с которыми может работать SAMS;
- Включить ограничение скорости доступа пользователей;
- Разрешить доступ пользователей к своей статистике — дает разрешение пользователю после авторизации в домене посмотреть свою статистику
Это — основные настройки программы. Но администратору предоставлены и иные возможности управления. К ним относятся:
- опции работы со списками перенаправления запросов;
- опции работы со списками запрещенных к доступу пользователей ресурсов;
- опции работы со списками запрещенных к доступу пользователей ресурсов;
- список доменов, трафик с которых не учитывается;
- опции работы с шаблонами пользователей;
- опции работы с группами пользователей;
- опции работы с пользователями и получения отчетов о работе пользователей с ресурсами Интернет;
- просмотр системных сообщений;
- опции работы с пользователями, имеющими право администрировать систему контроля доступа SAMS.
![]() |
Списки перенаправления запросов предназначены для группировки URL, запросы пользователей к которым необходимо перенаправить на другой адрес. Наиболее часто используется подмена графических ресурсов. Эту опцию можно использовать для подмены запросов к баннерным системам или счетчикам посещения пользователей. Пополнение списка может выполняться несколькими путями — вводом адреса в интерфейсе администратора, импортом из текстового файла, выборкой из посещаемых пользователями ресурсов.
Управляя списками доступа, можно ограничить посещение пользователями нежелательных ресурсовАналогично создаются списки запретов доступа. Они предназначены для группировки URL, доступ к которым пользователями нежелателен. Эти списки могут относиться как ко всем пользователям, так и создаваться для конкретной группы пользователя или индивидуально. С помощью списков становится возможным формирование шаблонов доступа пользователей к ресурсам Интернет. Можно регулировать доступ и с помощью регулярных выражений. Например, можно установить запрет на доступ к файла с расширением mp3, avi. Но автор программы предупреждает, что могут быть проблемы с редиректами при нескольких десятках тысяч URL в списках — SQUID начинает глючить, а поскольку редиректор непосредственно общается с базой в MySQL, за счет этого при большом количестве одновременных запросов может быть некоторое торможение работы программы.
Но считать нужно не весь трафик. Например, не требуется считать трафик на локальных доменах, он не должен попадать в статистику. Также есть ситуации, когда провайдер устанавливает бесплатный доступ к ресурсам внутри своей сети. Для отказа от учета такого трафика есть возможность формирования списков локальных доменов. «Хождение» по ним не будет влиять на статистику трафика конкретного пользователя.
Для назначения прав и правил доступа пользователей, существуют понятия шаблонов групп пользователей и шаблонов пользователей. Шаблоны предназначены для управления доступом пользователей к ресурсам информационных сетей общего пользования. Они несут информацию, какие списки блокировки или URL заданы. Также имеется возможность ввода размера ограничения скорости канала для всех пользователей (байт в секунду), включенных в данный шаблон, и размер ограничения скорости канала для отдельного пользователя.
![]() |
Регистрация новых пользователей может производиться двумя способами:
- индивидуальная регистрация пользователя;
- одновременная регистрация нескольких пользователей из списка, полученного от контроллера домена.
Статистика позволяет отслеживать объемы и адреса посещаемых сайтовВся статистическая информация хранится в базе данных. Она включает информацию о полученном объему, сайтах, страницах, на которых побывал тот или иной пользователь. На основе этой информации создаются отчеты о трафике и посещенных пользователем ресурсах. В зависимости от настроек, доступ к такой информации помимо администратора может получить и пользователь, но только к своей. Статистика доступна как в разрезе объемов трафика, так и в разрезе посещенных ресурсов с указанием объема скаченной информации с каждого из них. Здесь обычно обнаруживается, что вроде бы «легкие» с виду сайты «тянут» порой на многие мегабайты. И когда только они успевают проскакивать? Зато и администратор может вылавливать то, что резко увеличивает объем трафика и оценивать необходимость ограничения доступа к таким ресурсам.
Общее впечатление программа оставляет очень неплохое. Проста в установке и настройке, удобна в использовании, надежна в эксплуатации. Если ftp-трафик пропускается через SQUID, то и он будет учитываться в трафике пользователя. Не учитывается лишь почтовый трафик, но это отдельная проблема.
Ссылки по теме
Статья получена: hostinfo.ru