форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"SQUID, аудентификация через AD и группы пользователей"
Сообщение от Dr. Nebula on 01-Авг-05, 14:48  (MSK)
Всем привет! Такая ситуация: есть виндовый домен, есть машинка с Фрюхой, с поднятыми на ней Samba и Squid с прозрачной авторизацией по ntlm Пользователи ходят в инет через прокси, авторизуясь автоматичекси. Все было хорошо, пока не возникла задача разграничить доступ и интет по группам. Вот куски конфигов: авторизация: auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 30 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 30 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours Доступ: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80          # http acl Safe_ports port 21          # ftp acl Safe_ports port 443 563     # https, snews acl Safe_ports port 70          # gopher acl Safe_ports port 210         # wais acl Safe_ports port 1025-65535  # unregistered ports acl Safe_ports port 280         # http-mgmt acl Safe_ports port 488         # gss-http acl Safe_ports port 591         # filemaker acl Safe_ports port 777         # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS acl AuthorizedUsers proxy_auth REQUIRED acl office1 proxy_auth                 "/usr/local/etc/squid/acl/users/office_1.txt" acl office2 proxy_auth                 "/usr/local/etc/squid/acl/users/office_2.txt" acl operator1 proxy_auth       "/usr/local/etc/squid/acl/users/operators_1.txt" acl filter1 url_regex -i "/usr/local/etc/squid/acl/filter/filter_1.txt" acl filter2 url_regex -i "/usr/local/etc/squid/acl/filter/filter_2.txt" http_access allow      all             office1 http_access allow      !filter1 all    office2 http_access allow      filter2         operator1 #http_access allow all AuthorizedUsers При данном варианте - в логах видно, что человек вроде бы как авторизован, то есть его логин отображается, но все равно получает DENY Кто-нить может помочь с этим разобраться?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "SQUID, аудентификация через AD и группы пользователей"
Сообщение от colibri on 02-Авг-05, 08:53  (MSK)
>#http_access allow all AuthorizedUsers Почему "#" ?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "SQUID, аудентификация через AD и группы пользователей"
	Сообщение от Dr. Nebula on 02-Авг-05, 15:31  (MSK)
	>>#http_access allow all AuthorizedUsers > >Почему "#" ? Потому как всем остальным, даже имеющим логин в домене доступ должен быть закрыт
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "SQUID, аудентификация через AD и группы пользователей"
	Сообщение от Dr. Nebula on 02-Авг-05, 15:33  (MSK)
	А вобще - тема закрыта, вроде бы все удалось Надо было более внимательно пересмотреть правила :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "SQUID, аудентификация через AD и группы пользователей"
	Сообщение от Trunk on 03-Авг-05, 12:09  (MSK)
	>А вобще - тема закрыта, вроде бы все удалось >Надо было более внимательно пересмотреть правила :) А могли бы показать оканчательный вариант конфига, а то давеча задавал подобный вопрос на этом форуме, но советы тогдашние не помогли. Тоже squid, samda, на Фрюхе, авторизация в AD. Мне нужно было разбить пользователей на 2 группы. 1-ая куда хочет 2-ая на конкретный сайт в инете.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "SQUID, аудентификация через AD и группы пользователей"
	Сообщение от Dr. Nebula on 03-Авг-05, 13:23  (MSK)
	>>А вобще - тема закрыта, вроде бы все удалось >>Надо было более внимательно пересмотреть правила :) > > >А могли бы показать оканчательный вариант конфига, а то давеча задавал подобный >вопрос на этом форуме, но советы тогдашние не помогли. >Тоже squid, samda, на Фрюхе, авторизация в AD. >Мне нужно было разбить пользователей на 2 группы. >1-ая куда хочет >2-ая на конкретный сайт в инете. На данный момент это выглядит так # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS acl AuthorizedUsers proxy_auth REQUIRED acl admins proxy_auth "/usr/local/etc/squid/acl/users/admins.txt" acl office1 proxy_auth "/usr/local/etc/squid/acl/users/office_1.txt" acl office2 proxy_auth "/usr/local/etc/squid/acl/users/office_2.txt" acl operator1 proxy_auth "/usr/local/etc/squid/acl/users/operators_1.txt" acl filter1 urlpath_regex -i "/usr/local/etc/squid/acl/filter/filter_1.txt" acl filter2 url_regex -i "/usr/local/etc/squid/acl/filter/filter_2.txt" http_access allow all admins http_access allow all office1 http_access allow office2 !filter1 all http_access allow operator1 filter2 http_access allow AuthorizedUsers filter2 Если я ничего не перепутал, то получается что группе admin и office1 разрешено все, office2 - все кроме filter1 (там скачивание файлов), группе operator1 - только те сайты, которые указаны в filter2 и пользователю по умолчанию - то есть прочим авторизованным проксей пользователям - тоже только то что указано в filter2
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "SQUID, аудентификация через AD и группы пользователей"
	Сообщение от Dr. Nebula on 03-Авг-05, 13:39  (MSK)
	>>А вобще - тема закрыта, вроде бы все удалось >>Надо было более внимательно пересмотреть правила :) > > >А могли бы показать оканчательный вариант конфига, а то давеча задавал подобный >вопрос на этом форуме, но советы тогдашние не помогли. >Тоже squid, samda, на Фрюхе, авторизация в AD. >Мне нужно было разбить пользователей на 2 группы. >1-ая куда хочет >2-ая на конкретный сайт в инете. Траблы были как мне и сказали (http://forum.deepnet.ru/viewtopic.php?t=20) в списках доступа и порядке узазания acl :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "SQUID, аудентификация через AD и группы пользователей"
	Сообщение от Trunk on 04-Авг-05, 08:03  (MSK)
	>>>А вобще - тема закрыта, вроде бы все удалось >>>Надо было более внимательно пересмотреть правила :) >> >> >>А могли бы показать оканчательный вариант конфига, а то давеча задавал подобный >>вопрос на этом форуме, но советы тогдашние не помогли. >>Тоже squid, samda, на Фрюхе, авторизация в AD. >>Мне нужно было разбить пользователей на 2 группы. >>1-ая куда хочет >>2-ая на конкретный сайт в инете. > >Траблы были как мне и сказали (http://forum.deepnet.ru/viewtopic.php?t=20) >в списках доступа и порядке узазания acl :) Извиняюсь, но мне нужно немного другое. Чтобы одни пользователи ходили везде и через авторизацию в AD, а других не надо авторизовать через AD сделал примерно следующее: acl proba src 192.168.1.1/255.255.255.255 acl proba1 dstdomain .opennet.ru http_access allow proba proba1 acl NTLMauth proxy_auth REQUIRED http_access allow NTLMauth Пользователи с AD ходят в инет, все нормально, а пользователь с IP из акцесса proba на opennet.ru ходит, но у него постоянно выходит окно на авторзацию, естественно пользователь никак не авторизуется, жмет отмена или esp, но это при нажатии на каждую ссылку, пользователи жалуются, теперь из-за этого не могу в конторе внедрить авторизацицию через AD :(
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.