tester
-
Постов
3 -
Зарегистрирован
-
Посещение
Никогда
Сообщения, опубликованные tester
-
-
Подскажите как в squid-е раздать права доменным группам?
На машине функционирует samba 3 и winbind, доменная авторизация пока настроена вот так:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param ntlm children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl AuthorizedUsers proxy_auth REQUIRED
http_access allow all AuthorizedUsers
А хочется чтобы например
группе DOMAIN\inet_http разрешено использовать инет в любое время,
группе DOMAIN\inet_http_restricted только в определенное время,
группе DOMAIN\inet_ftp - пользоваться ftp через http,
группе DOMAIN\inet_download_multimedia - с этим понятно
и т.п.
Не подбросите примерчик с acl?
-
Сразу скажу - это тестовый сквид, крутящийся на NT.
Как только разберусь - переедет под правильную ОС
Вот есть у меня сейчас такой кусок конфига:
acl inet_http external NT_local_group inet_http
acl inet_ftp external NT_local_group inet_ftp
acl inet_full external NT_local_group inet_full
acl all src 0.0.0.0/0.0.0.0
acl ftp_sites url_regex -i ^ftp://
acl http_sites url_regex -i ^http://
acl ssl_sites url_regex -i ^https://
acl password proxy_auth REQUIRED
http_access allow password inet_full
http_access allow password inet_http http_sites
http_access allow password inet_http ssl_sites
http_access allow password inet_ftp ftp_sites
http_access deny password inet_http
http_access deny password inet_ftp
http_access deny all
Т.е. суть - юзер проверяется внешним модулем на присутствие в той или иной группе и в зависимости от нее получает доступ к тем или иным протоколам на сквиде. Проверка проходит нормально. Юзерам из группы inet_full разрешено все в любое время. И сквид действительно пускает и на http, и на ftp и на https. С др. стороны есть юзер который входит только в группу inet_http. По идее согласно этим правилам его не должны пускать на фтп, и спокойно пропускать на http и https, так?
На http:// то его пускают а на ssl нет. Сквид говорит, что доступ не разрешен. Где я балбес?
squid раздача прав группам
в Общий форум
Опубликовано
всем спасибо за отклики
Кому интересно, то делается это через
external_acl_type nt_group ttl=0 concurrency=5 %LOGIN /usr/lib/squid/wbinfo_group.pl
Разобраться смог благодаря примеру из
http://www.flatmtn.com/computer/Linux-SquidNT.html
пункты 4 и 5 в частности.