форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ntlm+userlist"

Сообщение от Septima (ok) on 26-Окт-06, 16:56

Есть squid с ntlm авторизацией в домене. Очень надо еще прописать различные ACL-и в зависимости от логина пользователя. Что-то никак не могу придумать как. Привязать к IP можно, но лучше будет, если к имени пользователя.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "ntlm+userlist"

Сообщение от reset (??) on 27-Окт-06, 15:53

Все решается просто acl users proxy_auth REQUIRED acl user_inet proxy_auth "c:\squid\InetUsers" http_access allow users user_inet в файле прописываешь юзверей которым доступен инет vlg\user1 vlg\user2

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "ntlm+userlist"
	Сообщение от Septima (ok) on 30-Окт-06, 11:49
	>Все решается просто > >acl users proxy_auth REQUIRED >acl user_inet proxy_auth "c:\squid\InetUsers" > >http_access allow users user_inet > > >в файле прописываешь юзверей которым доступен инет > >vlg\user1 >vlg\user2 Немного не то. Еще раз - нужно прописать различные дополниетельные _ACL-и_ в зависимости от логина пользователя. А не просто авторизация народа из файла.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "ntlm+userlist"
	Сообщение от dsl on 30-Окт-06, 13:14
	>>Все решается просто >> >>acl users proxy_auth REQUIRED >>acl user_inet proxy_auth "c:\squid\InetUsers" >> >>http_access allow users user_inet >> >> >>в файле прописываешь юзверей которым доступен инет >> >>vlg\user1 >>vlg\user2 > >Немного не то. Еще раз - нужно прописать различные дополниетельные _ACL-и_ в >зависимости от логина пользователя. А не просто авторизация народа из файла. > вдумчиво читаем: 1. чтобы получить логин надо авторизоваться 2. после авторизации ты получаешь логин для обработки через ext_acl типа LOGIN 3. прописывай любые дополнительные acl
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "ntlm+userlist"
	Сообщение от Потап on 09-Ноя-06, 09:17
	>>>Все решается просто >>> >>>acl users proxy_auth REQUIRED >>>acl user_inet proxy_auth "c:\squid\InetUsers" >>> >>>http_access allow users user_inet >>> >>> >>>в файле прописываешь юзверей которым доступен инет >>> >>>vlg\user1 >>>vlg\user2 >> >>Немного не то. Еще раз - нужно прописать различные дополниетельные _ACL-и_ в >>зависимости от логина пользователя. А не просто авторизация народа из файла. >> > >вдумчиво читаем: >1. чтобы получить логин надо авторизоваться >2. после авторизации ты получаешь логин для обработки через ext_acl типа LOGIN > >3. прописывай любые дополнительные acl Никак не получается. 1. Авторизация в домене проходит 2. Как получить логин для дальнейшей обработки не пойму? external_acl_type ul1 %LOGIN "c:/squid/etc/level1.txt" содержание level1.txt nzhs\asu4 затем пробую прописать acl acl user external ul1 ругается и не работает
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "ntlm+userlist"
	Сообщение от dsl on 09-Ноя-06, 09:25
	>>>>Все решается просто >>>> >>>>acl users proxy_auth REQUIRED >>>>acl user_inet proxy_auth "c:\squid\InetUsers" >>>> >>>>http_access allow users user_inet >>>> >>>> >>>>в файле прописываешь юзверей которым доступен инет >>>> >>>>vlg\user1 >>>>vlg\user2 >>> >>>Немного не то. Еще раз - нужно прописать различные дополниетельные _ACL-и_ в >>>зависимости от логина пользователя. А не просто авторизация народа из файла. >>> >> >>вдумчиво читаем: >>1. чтобы получить логин надо авторизоваться >>2. после авторизации ты получаешь логин для обработки через ext_acl типа LOGIN >> >>3. прописывай любые дополнительные acl > >Никак не получается. >1. Авторизация в домене проходит >2. Как получить логин для дальнейшей обработки не пойму? >external_acl_type ul1 %LOGIN "c:/squid/etc/level1.txt" >содержание level1.txt >nzhs\asu4 >затем пробую прописать acl >acl user external ul1 >ругается и не работает external_acl_type это не файл со списком! это скрипт который на свой stdin получает строку (тот же логин) и на stdout выдает OK  или ERR в зависимости от условий. в примере выше юзеры могут быть без домена.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "ntlm+userlist"
	Сообщение от dsl on 09-Ноя-06, 09:27
	>external_acl_type это не файл со списком! >это скрипт который на свой stdin получает строку (тот же логин) и >на stdout выдает OK  или ERR в зависимости от условий. > >в примере выше юзеры могут быть без домена. так же external_acl_type можно настраивать на различные группы, и получаем различные ACL с которыми можно анипулировать. к примеру у меня группы в LDAP, твои могут быть как группы unix, windows, либо как список в файле.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "ntlm+userlist"
	Сообщение от Потап on 09-Ноя-06, 11:24
	>>external_acl_type это не файл со списком! >>это скрипт который на свой stdin получает строку (тот же логин) и >>на stdout выдает OK  или ERR в зависимости от условий. >> >>в примере выше юзеры могут быть без домена. > >так же external_acl_type можно настраивать на различные группы, и получаем различные ACL >с которыми можно анипулировать. >к примеру у меня группы в LDAP, твои могут быть как группы >unix, windows, либо как список в файле. У меня squidNT Настроена авторизация в домене. Она работает. Сделано так: #---Авторизация в домене NZHS auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param ntlm use_ntlm_negotiate on # Проверка авторизации acl pass_users    proxy_auth REQUIRED http_access allow pass_users Это работатет. Но мне нужно выпускать не всех кто автризовался в домене. А пользователей с определенными именами. В перспективе всех пользователей нужно разбить на 3 группы чтобы предоставить различный уровень доступа к инету. ВЫ этом то и загвоздка. Есть в дистрибутиве внешний хелпер win32_check_group.exe работающий через external_acl_type и проверяющий принадлежность пользователя к определенной группе. Но он почему то не работает. Выдает ошибку win32_check_group.exe NetServerGetInfo() failed Пытаюсь найти альтернативные пути. В принципе могу перечислить все имена в текстовом файле (в трех разных тиекстовых файлах level1.txt, level2.txt, level3.txt) содержание файла nzhs\asu4 nzhs\asu3 и т.д. Никак не могу прописать acl который бы учитывал что пользователь авторизован и в то же время его имя есть в файле level1.txt Пробовал всякие варианты. ХелП ПЛИЗ!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "ntlm+userlist"
	Сообщение от Потап on 09-Ноя-06, 11:26
	>>external_acl_type это не файл со списком! >>это скрипт который на свой stdin получает строку (тот же логин) и >>на stdout выдает OK  или ERR в зависимости от условий. >> >>в примере выше юзеры могут быть без домена. > >так же external_acl_type можно настраивать на различные группы, и получаем различные ACL >с которыми можно анипулировать. >к примеру у меня группы в LDAP, твои могут быть как группы >unix, windows, либо как список в файле. А как их настроить на список в файле?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "ntlm+userlist"
	Сообщение от Потап on 09-Ноя-06, 09:19
	>Все решается просто > >acl users proxy_auth REQUIRED >acl user_inet proxy_auth "c:\squid\InetUsers" > >http_access allow users user_inet > > >в файле прописываешь юзверей которым доступен инет > >vlg\user1 >vlg\user2 У меня такая конструкция почему-то нифига не работает В чем проблема не пойму...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]