URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 72444
[ Назад ]

Исходное сообщение
"Squid  time acl "

Отправлено Zinger , 23-Фев-07 12:31 
Колеги помогите решить проблемку.

Есть прокси сервер squid  с настроеной автроизацией в домене и проверкой принадлежности определенной группе- require-membership-of (Все работает нармально).
Сейчас возникла задача ограничеть досту для части юзеров по времени (доспут в нерабочие время). Юзеров много, поэтому привезать пользователей к ip адресам или выделить в отдельную подсеть  сложно и я думаю что неправильно.
Оптимально было бы, выделить юзеров попавших под ограничение в отдельную группу в домене  и заставить сквид проверять принадлежность єтой группе...Возможно ли это..
Еще один вопрос. Должен ли прокси выдавать окно на  ввод пароля для пользователей каторые не в ходят в группу указаную в  параметре --require-membership-of=AllowInet (на проксе сервере настроенна ntlm и basic аутентификация)


Содержание

Сообщения в этом обсуждении
"Squid  time acl "
Отправлено Z0termaNN , 24-Фев-07 12:25 
>Колеги помогите решить проблемку.
>
>Есть прокси сервер squid  с настроеной автроизацией в домене и проверкой
>принадлежности определенной группе- require-membership-of (Все работает нармально).
>Сейчас возникла задача ограничеть досту для части юзеров по времени (доспут в
>нерабочие время). Юзеров много, поэтому привезать пользователей к ip адресам или
>выделить в отдельную подсеть  сложно и я думаю что неправильно.
>
>Оптимально было бы, выделить юзеров попавших под ограничение в отдельную группу в
>домене  и заставить сквид проверять принадлежность єтой группе...Возможно ли это..
>

да, один из путей - использовать nsswitch + winbind + squid_unix_group,

external_acl_type TGROUP concurrency=20 ttl=3600 %LOGIN        
                                                 /usr/lib64/squid/squid_unix_group -p
acl tusers external TGROUP WORKGROUP\anygroup
acl wtime  time 09:00-18:00

http access deny tusers wtime

>Еще один вопрос. Должен ли прокси выдавать окно на  ввод пароля
>для пользователей каторые не в ходят в группу указаную в  
>параметре --require-membership-of=AllowInet (на проксе сервере настроенна ntlm и basic аутентификация)


должен, по крайней мере он должен сначала авторизовать пользователя, чтобы понять в какой
тот группе.