URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 285
[ Назад ]

Исходное сообщение
"Squid 2.5 Stable 1 и авторизация по IP"
Отправлено Master400 , 17-Дек-02 13:22

Squid 2.5 Stable 1 и авторизация по IP Login Password
Компиляция проводилась с параметрами
./configure --prefix=/usr/share/squid --enable-icmp --enable-useragent-log --enable-arp-acl --enable-gnuregex --enable-ident-lookups --enable-external-acl-helpers=ip_user --enable-basic-auth-helpers=NCSA
В секции OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
есть такой таг
# TAG: external_acl_type
.
.
.
#external_acl_type name [options] FORMAT.. /path/to/helper [helper arguments..]
вручную ip_user_check отрабатывается
Как это использовать в Squid
хотелось бы пример
Вообще то надо чтобы сначало по запросу от клиента шла проверка по его IP далее по логину затем по паролю (в сети более 100 машин с выходом в инет и юзеры задолбали прыгать с место на место и раздавать пароли НАДО ВСЕ ЭТО ПРИСЕЧЬ по типу один IP + логин + пароль и все это только для одного рабочего места с пользователем)
С уважением Александр

Содержание

RE: Squid 2.5 Stable 1 и авторизация по IP,Master400, 17:11 , 17-Дек-02
- RE: Squid 2.5 Stable 1 и авторизация по IP,hobo, 21:06 , 17-Дек-02
- RE: Squid 2.5 Stable 1 и авторизация по IP,junior, 15:17 , 18-Дек-02
  - RE: Squid 2.5 Stable 1 и авторизация по IP,Out, 17:01 , 02-Апр-03
- RE: Squid 2.5 Stable 1 и авторизация по IP,junior, 15:18 , 18-Дек-02

Сообщения в этом обсуждении

"RE: Squid 2.5 Stable 1 и авторизация по IP"
Отправлено Master400 , 17-Дек-02 17:11

Отвечаю сам себе потому что никто не ответил
привожу пример мож кому пригодиться
external_acl_type IP_USER %SRC %LOGIN /usr/share/squid/bin/ip_user_check -f /usr/share/squid/etc/ip.txt
это вызов программы проверки и файла описания IP и Login
А это правила обработки они у меня заработали
acl users proxy_auth (логины пользователей можно из файла)
acl IP_USER external IP_USER %SRC %LOGIN
http_access deny !users
http_access deny !IP_USER
http_access allow IP_USER
http_access allow users
Вот как бы и все

"RE: Squid 2.5 Stable 1 и авторизация по IP"
Отправлено hobo , 17-Дек-02 21:06

С 2.5 не общался.Видимо ента байда в нем только появилась.
Для схожих целей(связка ip-login-password) пользую ncsa_auth_plus
Покедова

"RE: Squid 2.5 Stable 1 и авторизация по IP"
Отправлено junior , 18-Дек-02 15:17

>http_access deny !users
>http_access deny !IP_USER
>http_access allow IP_USER
>http_access allow users
А почему не
http_access allow users
http_access allow IP_USER
http_access deny all
А по поводу всяких проверок...
Тебе можно устраивать проверку и по MAC-адресам, раз у тебя собрана прокся с этой опцией. Тогда проверка идёт: MAC+IP+USER+PASSWORD+TIME_ACCEPT(если задано время доступа к проксе)
У меня так работает и все смеются от счастья.
Правда это всё работает на SQUID-2.4.STABLE7
а для проверки принадлежности логин+ip не обязательно делать внешнюю привязку к файлу с соответствием юзер+ip.
Достаточно проверить наличие при аутентификации:
authenticate_ip_ttl_is_strict on
кроме других параметров аутентификации.
Я использую ncsa_auth модуль.
А вот модуль ncsa_auth_plus у меня к сожалению не удачно прошёл испытания, поэтому я и отказался от него в пользу "родных" модулей. Но подозреваю, что это просто мой недосмотр при сборке и настройке.
Удачи.

"RE: Squid 2.5 Stable 1 и авторизация по IP"
Отправлено Out , 02-Апр-03 17:01

>
>>http_access deny !users
>>http_access deny !IP_USER
>>http_access allow IP_USER
>>http_access allow users
>
>А почему не
>http_access allow users
>http_access allow IP_USER
>http_access deny all
>
>А по поводу всяких проверок...
>Тебе можно устраивать проверку и по MAC-адресам, раз у тебя собрана прокся
>с этой опцией. Тогда проверка идёт: MAC+IP+USER+PASSWORD+TIME_ACCEPT(если задано время доступа к
>проксе)
>У меня так работает и все смеются от счастья.
>Правда это всё работает на SQUID-2.4.STABLE7
>а для проверки принадлежности логин+ip не обязательно делать внешнюю привязку к файлу
>с соответствием юзер+ip.
>Достаточно проверить наличие при аутентификации:
>
>authenticate_ip_ttl_is_strict on
>
>кроме других параметров аутентификации.
>Я использую ncsa_auth модуль.
>А вот модуль ncsa_auth_plus у меня к сожалению не удачно прошёл испытания,
>поэтому я и отказался от него в пользу "родных" модулей. Но
>подозреваю, что это просто мой недосмотр при сборке и настройке.
>Удачи.

А можно по подробнее насчет аутенфикации пользователя по IP в Squid 2.4 STABLE7. А то я давно бьюсь!!! Конф кинь плз!!!!

"RE: Squid 2.5 Stable 1 и авторизация по IP"
Отправлено junior , 18-Дек-02 15:18

>http_access deny !users
>http_access deny !IP_USER
>http_access allow IP_USER
>http_access allow users
А почему не
http_access allow users
http_access allow IP_USER
http_access deny all
А по поводу всяких проверок...
Тебе можно устраивать проверку и по MAC-адресам, раз у тебя собрана прокся с этой опцией. Тогда проверка идёт: MAC+IP+USER+PASSWORD+TIME_ACCEPT(если задано время доступа к проксе)
У меня так работает и все смеются от счастья.
Правда это всё работает на SQUID-2.4.STABLE7
а для проверки принадлежности логин+ip не обязательно делать внешнюю привязку к файлу с соответствием юзер+ip.
Достаточно проверить наличие при аутентификации:
authenticate_ip_ttl_is_strict on
кроме других параметров аутентификации.
Я использую ncsa_auth модуль.
А вот модуль ncsa_auth_plus у меня к сожалению не удачно прошёл испытания, поэтому я и отказался от него в пользу "родных" модулей. Но подозреваю, что это просто мой недосмотр при сборке и настройке.
Удачи.