URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 69484
[ Назад ]

Исходное сообщение
"Подскажите по Squid."

Отправлено Saler , 12-Окт-06 10:34 
Squid авторизуется в домене 2003, в зависимости от группы в домене в которую входит пользователь свои ограничения(группа inet_users разрешает доступ ). Сделал группу для доступа только к одному сайту (http://www.tender.mos.ru/) создал acl....всё работает, то есть пользователь входящий в группу inet_apt_tender ничего не может открыть кроме одного сайта, но при открытие этого сайта, IE постоянно запрашивает авторизацию,сам сайт грузится нормально, подозреваю что этот сайт пытается тянуть еще что то с других, окошко с авторизацией ужасно раздражает всех, подскажите как избавится от этого окна? Не хочется выяснять куда лезет еще этот сайт и делать acl для них :( либо давать полный доступ....    

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="xxx+inet_users"
auth_param ntlm children 10

external_acl_type ext_inet_apt_tender %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl inet_users proxy_auth REQUIRED
acl s_inet_apt_tender external ext_inet_apt_tender inet_apt_tender
acl tender_apt dst 82.138.62.126

http_access allow inet_users s_inet_apt_tender tender_apt
http_access deny s_inet_apt_tender
http_access allow inet_users
http_access deny all


Содержание

Сообщения в этом обсуждении
"Подскажите по Squid."
Отправлено vozd , 12-Окт-06 11:57 
>Squid авторизуется в домене 2003, в зависимости от группы в домене в
>которую входит пользователь свои ограничения(группа inet_users разрешает доступ ). Сделал группу
>для доступа только к одному сайту (http://www.tender.mos.ru/) создал acl....всё работает, то
>есть пользователь входящий в группу inet_apt_tender ничего не может открыть кроме
>одного сайта, но при открытие этого сайта, IE постоянно запрашивает авторизацию,сам
>сайт грузится нормально, подозреваю что этот сайт пытается тянуть еще что
>то с других, окошко с авторизацией ужасно раздражает всех, подскажите как
>избавится от этого окна? Не хочется выяснять куда лезет еще этот
>сайт и делать acl для них :( либо давать полный доступ....
>
>
>auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="xxx+inet_users"
>auth_param ntlm children 10
>
>external_acl_type ext_inet_apt_tender %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
>acl inet_users proxy_auth REQUIRED
>acl s_inet_apt_tender external ext_inet_apt_tender inet_apt_tender
>acl tender_apt dst 82.138.62.126
>
>http_access allow inet_users s_inet_apt_tender tender_apt
>http_access deny s_inet_apt_tender
>http_access allow inet_users
>http_access deny all

Для Сквида весия 2.6 собираешь с опциями - '--enable-auth=ntlm' '--enable-ntlm-auth-helpers=SMB' '--enable-external-acl-helpers=wbinfo_group'
Также прийдётся собрать Самбу. Ты используешь хелпер от Сквида, а лучше использовать Самбовский. Поищи в форуме инфу типа Авторизация в Win2k. там будет описано, как правильно авторизироваться и получать группу средствами самба.
В конфиге сквида добавишь
auth_param ntlm program /usr/local/samba/bin/ntlm_auth \ --helper-protocol=squid-2.5-ntlmssp --require-membership-of="1csrvwProxy_World"
auth_param ntlm children 5
auth_param ntlm keep_alive on
где 1csrvw - домэн (рабочая группа), Proxy_World - группа, в которую включены пользователи для доступа в нэт. ACL настроить тоже прийдётся, где указать нужно Proxy_World.
Проблемы, которые возникают при такой реализации - так как авторизация будет проходить прозрачно, используя протокол ntlm (пользователь залогинился в домэне и получает доступ), то есть при выходе в мир не требуется пароля, то если у тебя даунлоадер не поддерживает этот протокол то и закачать не получится, так как будет всегда вылетать просьба авторизации, а вот средствами броузера - всё отлично. Можешь изменить параметр с --enable-auth=ntlm на --enable-auth=basic, тогда при выхолде в инэт будет спрашиваться пароль доменный один раз и качалка тогда сможет работать нормально, так как происходит процес авторизации ручками.


"Подскажите по Squid."
Отправлено Saler , 12-Окт-06 13:18 
Хм..видимо я криво объяснил, у меня всё работает с самбой и авторизация проходит через логин в домене и больше пароль не спрашивает когда серфингом по сайтам занимаешься....и различные группы есть ограниченные по скорости и по контенту...но вот появилась необходимость
Проблема именно возникает когда хочешь разрешить определенной группе открывать только одну сстраницу в инете, и он её нормально открывает, но как я подозреваю поскольку эта страница ссылается на другие(на которые доступ закрыт) то всплывает окно авторизации в интернет эксплорере....вопрос как от него избавиться?