Бьюсь уже месяц, но так и не получилось.Проблема в том, что у меня настроина авторизация через SQUID, а юзера по доброте своей дают логины и пароли.И получается, что все могут ходить через один логин. Как мне РАЗРЕШИТЬ ходить только ОДНОМУ!!! юзеру через его логин в данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ ПРОЧИТАТЬ?????
>Бьюсь уже месяц, но так и не получилось.Проблема в том, что у
>меня настроина авторизация через SQUID, а юзера по доброте своей дают
>логины и пароли.И получается, что все могут ходить через один логин.
>Как мне РАЗРЕШИТЬ ходить только ОДНОМУ!!! юзеру через его логин в
>данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ
>ПРОЧИТАТЬ?????
самое действенное зарубить те логины на недельку и провести воспитаттельную работу или доложить начальству вплоть до лишения премий и так далее. Как вариант не делать авторизацию, а делать доступ по ip, но если на машине несколько пользователей, то конечно не покатит.
Да ужжж...Проблема стара как мир. Обсасывается с завидным постоянством и естественно принципиального решения не имеет.
Кроме пожалуй одного. И единственно правильного (неИМХО).Нужно (всего навсего) сделать этот процесс (приема/передачи логинов/паролей etc.) НЕВЫГОДНЫМ!
Только не спрашивайте меня КАК это сделать.
Тут вам и карты в руки. Включайте фантазию.
В общем: Твори. Выдумывай. Пробуй!
ходить только ОДНОМУ!!! юзеру через его логин в
>данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ
>ПРОЧИТАТЬ?????Ну если аутентификация по логину то в squid.conf можно прописать:
authenticate_ip_ttl 0
что не позволит с нескольких мест пользоваться одним логином, но ИМХО карательные меры эффективнее :D
>ходить только ОДНОМУ!!! юзеру через его логин в
>>данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ
>>ПРОЧИТАТЬ?????
>
>Ну если аутентификация по логину то в squid.conf можно прописать:
>
>authenticate_ip_ttl 0
>
>что не позволит с нескольких мест пользоваться одним логином, но ИМХО карательные
>меры эффективнее :DСори дорогой, но оно так и пускает как пускало....
>>Ну если аутентификация по логину то в squid.conf можно прописать:
>>
authenticate_ip_ttl 0
только не 0 (The default is 0 to disable the check.), а например 300. так же выставить
authenticate_ip_ttl_is_strict on
# This option makes authenticate_ip_ttl a bit stricted. With this
# enabled authenticate_ip_ttl will deny all access from other IP
# addresses until the TTL has expired, and the IP address "owning"
# the userid will not be forced to reauthenticate.тогда в течении 5 минут с других машин по этим логином никто не зайдет. более правильное время придумай сам, исходя из того, как часто юзеры бегают с одной машины на другую.
>Бьюсь уже месяц, но так и не получилось.Проблема в том, что у
>меня настроина авторизация через SQUID, а юзера по доброте своей дают
>логины и пароли.И получается, что все могут ходить через один логин.
>Как мне РАЗРЕШИТЬ ходить только ОДНОМУ!!! юзеру через его логин в
>данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ
>ПРОЧИТАТЬ?????
Могу предложить привязать ip к mac адресу (iptables), а login squida к ip адресу - тогда каждый эзер может ходить в инет с одного ip адреса, а адреса они менять не смогут!
У меня это решается достаточно просто: в сквиде стоит привязка login к ip, причем смена ip отлавливается через arpwatch.
iptables, привязка к маку не используется дабы лишний раз проксяк не напрягать.
а так - если видишь что какой-то хохмач меняет адрес - сразу получает по ушам и больше так не делает (как правило).arpwatch понятно стоит на другой машине =)
>У меня это решается достаточно просто: в сквиде стоит привязка login к
>ip, причем смена ip отлавливается через arpwatch.
>iptables, привязка к маку не используется дабы лишний раз проксяк не напрягать.
>
>а так - если видишь что какой-то хохмач меняет адрес - сразу
>получает по ушам и больше так не делает (как правило).
>
>arpwatch понятно стоит на другой машине =)
Но, мне такое бы подошло с 10ю, ну 50 машинами!!! А у меня их 300 :((( И DHCP настроено... И Что я скажу юзеру если ему стукнет с другой машины в инет лезть.... ХЕЛП...ХЕЛП....ППП,.п.пппппп
>Но, мне такое бы подошло с 10ю, ну 50 машинами!!! А у
>меня их 300 :((( И DHCP настроено... И Что я скажу
>юзеру если ему стукнет с другой машины в инет лезть.... ХЕЛП...ХЕЛП....ППП,.п.пппппп
>
У меня это проблема решилась сама собой, после перевода squid-а на авторизацию по NTLM. Так как политика в домене NT разрешает только один заход пользователя в домен, то соответственно и сквид он может пользовать только с одного компа и под своим NT-евым аккаунтом. Все таки NTLM-ые хэши пользователи друг другу передавать вряд ли будут ;)))
>Но, мне такое бы подошло с 10ю, ну 50 машинами!!! А у
>меня их 300 :((( И DHCP настроено... И Что я скажу
>юзеру если ему стукнет с другой машины в инет лезть.... ХЕЛП...ХЕЛП....ППП,.п.ппппппА зачем вообще задействовать IP-аутентификацию. Сразу делай допуск по MAC-адресу. Ну и пароли там роздай, изменения по аппаратным адресам отслеживай arpwatch-ем, как и советовали, он тебе письмо пришлёт ежели что поменялось в сети. сразу смотришь какой логин на этот адрес выдан и отключаешь его от инета :))) Не хочешь сам делать - скрипт напиши, но пока оттестируешь - ошибки будут - бить будут :))) Зато потом - ляпота..))
У меня раньше пробовали ставить на локальных тачках пробрасывающие мини-прокси, чтобы кому по времени запрещено мог в инет лазить. Всё отрубается при авторизации..))
Так что вывод: MAC+PASSWORD+ARPWATCH+IPTABLES работает всё при грамотной настройке. У меня и время допуска регулируется и ограничение на порнуху редиректором стоит. Правда доступ по времени я теперь iptables регулирую, так же как и соответствие MAC+IP, а ещё ограничение на количество соединений с одного адреса, величину скачивемого файла, скорость.
Тут твоя фантазия только тебя сможет остановить :))))
Для пользователя хуже - если она извращённой окажется :))) Шутка.))
Удачного дня и с праздником, млин!!!
>>Но, мне такое бы подошло с 10ю, ну 50 машинами!!! А у
>>меня их 300 :((( И DHCP настроено... И Что я скажу
>>юзеру если ему стукнет с другой машины в инет лезть.... ХЕЛП...ХЕЛП....ППП,.п.пппппп
>
>А зачем вообще задействовать IP-аутентификацию. Сразу делай допуск по MAC-адресу. Ну и
>пароли там роздай, изменения по аппаратным адресам отслеживай arpwatch-ем, как и
>советовали, он тебе письмо пришлёт ежели что поменялось в сети. сразу
>смотришь какой логин на этот адрес выдан и отключаешь его от
>инета :))) Не хочешь сам делать - скрипт напиши, но пока
>оттестируешь - ошибки будут - бить будут :))) Зато потом -
>ляпота..))
>У меня раньше пробовали ставить на локальных тачках пробрасывающие мини-прокси, чтобы кому
>по времени запрещено мог в инет лазить. Всё отрубается при авторизации..))
>
>Так что вывод: MAC+PASSWORD+ARPWATCH+IPTABLES работает всё при грамотной настройке. У меня и
>время допуска регулируется и ограничение на порнуху редиректором стоит. Правда доступ
>по времени я теперь iptables регулирую, так же как и соответствие
>MAC+IP, а ещё ограничение на количество соединений с одного адреса, величину
>скачивемого файла, скорость.
>Тут твоя фантазия только тебя сможет остановить :))))
>Для пользователя хуже - если она извращённой окажется :))) Шутка.))
>Удачного дня и с праздником, млин!!!Ну, спасибо.... По времени и SQUID замечательно регулирует.... Не MAC и IP отпадает!!! Здача не в том что бы с определённого IP или MAC адреса только можно войти... А в том что ьы юзера не могли с двух тачек под одним ЛОГИНОМ в инет идти...Так что я не вижу решения в твоём совете... Я бы тогда мог бы конкретный IP пускать в инет, сделав при этом IP POOL который не меняется- статический...О!
ЧТО МНЕ ЕЩЁ СДЕЛАТЬ???? ААААААААААААААААААААААААА???????????ПОМОГИТЕ!!!!!!!!!!!!!!!!!!!!
>Ну, спасибо.... По времени и SQUID замечательно регулирует.... Не MAC и IP
>отпадает!!! Здача не в том что бы с определённого IP или
>MAC адреса только можно войти... А в том что ьы юзера
>не могли с двух тачек под одним ЛОГИНОМ в инет идти...Так
>что я не вижу решения в твоём совете... Я бы тогда
>мог бы конкретный IP пускать в инет, сделав при этом IP
>POOL который не меняется- статический...О!
>ЧТО МНЕ ЕЩЁ СДЕЛАТЬ???? ААААААААААААААААААААААААА???????????ПОМОГИТЕ!!!!!!!!!!!!!!!!!!!!Во-первых не паникуй.))
Во-вторых - ты внимательно читать умеешь?
Привязка логина к определённому MAC-адресу НЕ ДАСТ ПОД ТЕМ ЖЕ ЛОГИНОМ ЗАЙТИ С ДРУГОГО!!!
Доступно?
Удачного дня.
В догонку.
Всё это ОПРОБОВАНО у меня в сети. Всё это делается средствами SQUID-а, раз он тебе так дорог. Ни один пользователь в моей сетке НЕ СМОЖЕТ зайти с другого компа под СВОИМ даже логином, а любое ихменение аппаратного адреса сразу будет отмечено arpwatch и послано сообщение мне в почтуовый ящик. Можно на основании этих изменений написать скрипт или демон, который будет банить проштрафившийся адрес.
Удачного дня.
>В догонку.
>Всё это ОПРОБОВАНО у меня в сети. Всё это делается средствами SQUID-а,
>раз он тебе так дорог. Ни один пользователь в моей сетке
>НЕ СМОЖЕТ зайти с другого компа под СВОИМ даже логином, а
>любое ихменение аппаратного адреса сразу будет отмечено arpwatch и послано сообщение
>мне в почтуовый ящик. Можно на основании этих изменений написать скрипт
>или демон, который будет банить проштрафившийся адрес.
>Удачного дня.
Дамс.....Действительно может и помоч....Но я как это бы сказать....Ещё маааленький и не всё умею.... Мона мне маааленький огонёк (примерчик MAC+LOGIN)для моего дальшого развития в нужном направлении ...Пожайлуста...
Спасибо за Ваше терпение.....
>Дамс.....Действительно может и помоч....Но я как это бы сказать....Ещё маааленький и не
>всё умею.... Мона мне маааленький огонёк (примерчик MAC+LOGIN)для моего дальшого развития
>в нужном направлении ...Пожайлуста...
Можно.
#----cut----#
acl all 0.0.0.0/0.0.0.0acl mac_user1 mac 00:00:00:00:00:01
acl mac_user2 mac 00:00:00:00:00:02
acl mac_user3 mac 00:00:00:00:00:03acl pass_user1 proxy_auth user1
acl pass_user2 proxy_auth user2
acl pass_user3 proxy_auth user3http_access allow mac_user1 pass_user1
http_access allow mac_user2 pass_user2
http_access allow mac_user3 pass_user3
http_access deny allhttp_reply_access allow mac_user1
http_reply_access allow mac_user2
http_reply_access allow mac_user3
http_reply_access deny allicp_access allow mac_user1 pass_user1
icp_access allow mac_user2 pass_user2
icp_access allow mac_user3 pass_user3
icp_access deny allmiss_access allow mac_user1
miss_access allow mac_user2
miss_access allow mac_user3
miss_access deny all#-------cut--------#
Не забудь, что SQUID нужно откомпилировать с поддержкой arp-acl
--enable-arp-acl
Ну и поддержка твоих методов аутентификации соответственно.Узанать, с какими опциями у тебя собран SQUID можно командой
# squid -v>Спасибо за Ваше терпение.....
На здоровье. Просто паника - последнее дело, особенно при отладке программ. Тут же как в X-Files - "Истина где-то рядом" ;-))))Удачного дня!
>>Дамс.....Действительно может и помоч....Но я как это бы сказать....Ещё маааленький и не
>>всё умею.... Мона мне маааленький огонёк (примерчик MAC+LOGIN)для моего дальшого развития
>>в нужном направлении ...Пожайлуста...
>Можно.
>#----cut----#
>acl all 0.0.0.0/0.0.0.0
>
>acl mac_user1 mac 00:00:00:00:00:01
>acl mac_user2 mac 00:00:00:00:00:02
>acl mac_user3 mac 00:00:00:00:00:03
>
>acl pass_user1 proxy_auth user1
>acl pass_user2 proxy_auth user2
>acl pass_user3 proxy_auth user3
>
>http_access allow mac_user1 pass_user1
>http_access allow mac_user2 pass_user2
>http_access allow mac_user3 pass_user3
>http_access deny all
>
>http_reply_access allow mac_user1
>http_reply_access allow mac_user2
>http_reply_access allow mac_user3
>http_reply_access deny all
>
>icp_access allow mac_user1 pass_user1
>icp_access allow mac_user2 pass_user2
>icp_access allow mac_user3 pass_user3
>icp_access deny all
>
>miss_access allow mac_user1
>miss_access allow mac_user2
>miss_access allow mac_user3
>miss_access deny all
>
>#-------cut--------#
>
>Не забудь, что SQUID нужно откомпилировать с поддержкой arp-acl
>--enable-arp-acl
>Ну и поддержка твоих методов аутентификации соответственно.
>
>Узанать, с какими опциями у тебя собран SQUID можно командой
># squid -v
>
>>Спасибо за Ваше терпение.....
>На здоровье. Просто паника - последнее дело, особенно при отладке программ. Тут
>же как в X-Files - "Истина где-то рядом" ;-))))
>
>Удачного дня!
Спасибо Вам за ответ...Но у меня тут глупые вопросы есть....
1. acl mac_user1 mac 00:00:00:00:00:01
acl pass_user1 proxy_auth user1
http_access allow mac_user1 pass_user1
................. - это мне нужно столько ACL сколько у меня в сетки машин???? Т.е. у меня таких строк должно быть примерно 300 шт.??? Или тут описано разрешение на одновременный вход в инет с 3х машин?Можно тут подробнее.....Пожайлуста...
2.при вводе опции squid -v Мне рисует....- Version 2.4.STABLE6
>Спасибо Вам за ответ...Но у меня тут глупые вопросы есть....
>1. acl mac_user1 mac 00:00:00:00:00:01
> acl pass_user1 proxy_auth user1
> http_access allow mac_user1 pass_user1
> ................. - это мне
>нужно столько ACL сколько у меня в сетки машин???? Т.е. у
>меня таких строк должно быть примерно 300 шт.??? Или тут описано
>разрешение на одновременный вход в инет с 3х машин?Можно тут подробнее.....Пожайлуста...
Нет, это описано для одной машины.
Тебе прийдётся прописать их все. Такова иногда тяжкая рутина администратора.
>2.при вводе опции squid -v Мне рисует....- Version 2.4.STABLE6
Не squid -V , а squid -v - это 2 разницы :))
Удачного дня.