Всем привет!
Такая ситуация: есть виндовый домен, есть машинка с Фрюхой, с поднятыми на ней Samba и Squid с прозрачной авторизацией по ntlm
Пользователи ходят в инет через прокси, авторизуясь автоматичекси.
Все было хорошо, пока не возникла задача разграничить доступ и интет по группам.
Вот куски конфигов:
авторизация:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 30
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
Доступ:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECThttp_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl AuthorizedUsers proxy_auth REQUIREDacl office1 proxy_auth "/usr/local/etc/squid/acl/users/office_1.txt"
acl office2 proxy_auth "/usr/local/etc/squid/acl/users/office_2.txt"
acl operator1 proxy_auth "/usr/local/etc/squid/acl/users/operators_1.txt"acl filter1 url_regex -i "/usr/local/etc/squid/acl/filter/filter_1.txt"
acl filter2 url_regex -i "/usr/local/etc/squid/acl/filter/filter_2.txt"http_access allow all office1
http_access allow !filter1 all office2
http_access allow filter2 operator1#http_access allow all AuthorizedUsers
При данном варианте - в логах видно, что человек вроде бы как авторизован, то есть его логин отображается, но все равно получает DENY
Кто-нить может помочь с этим разобраться?
>#http_access allow all AuthorizedUsersПочему "#" ?
>>#http_access allow all AuthorizedUsers
>
>Почему "#" ?Потому как всем остальным, даже имеющим логин в домене доступ должен быть закрыт
А вобще - тема закрыта, вроде бы все удалось
Надо было более внимательно пересмотреть правила :)
>А вобще - тема закрыта, вроде бы все удалось
>Надо было более внимательно пересмотреть правила :)
А могли бы показать оканчательный вариант конфига, а то давеча задавал подобный вопрос на этом форуме, но советы тогдашние не помогли.
Тоже squid, samda, на Фрюхе, авторизация в AD.
Мне нужно было разбить пользователей на 2 группы.
1-ая куда хочет
2-ая на конкретный сайт в инете.
>>А вобще - тема закрыта, вроде бы все удалось
>>Надо было более внимательно пересмотреть правила :)
>
>
>А могли бы показать оканчательный вариант конфига, а то давеча задавал подобный
>вопрос на этом форуме, но советы тогдашние не помогли.
>Тоже squid, samda, на Фрюхе, авторизация в AD.
>Мне нужно было разбить пользователей на 2 группы.
>1-ая куда хочет
>2-ая на конкретный сайт в инете.На данный момент это выглядит так
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl AuthorizedUsers proxy_auth REQUIREDacl admins proxy_auth "/usr/local/etc/squid/acl/users/admins.txt"
acl office1 proxy_auth "/usr/local/etc/squid/acl/users/office_1.txt"
acl office2 proxy_auth "/usr/local/etc/squid/acl/users/office_2.txt"
acl operator1 proxy_auth "/usr/local/etc/squid/acl/users/operators_1.txt"acl filter1 urlpath_regex -i "/usr/local/etc/squid/acl/filter/filter_1.txt"
acl filter2 url_regex -i "/usr/local/etc/squid/acl/filter/filter_2.txt"http_access allow all admins
http_access allow all office1http_access allow office2 !filter1 all
http_access allow operator1 filter2http_access allow AuthorizedUsers filter2
Если я ничего не перепутал, то получается что группе admin и office1 разрешено все, office2 - все кроме filter1 (там скачивание файлов), группе operator1 - только те сайты, которые указаны в filter2 и пользователю по умолчанию - то есть прочим авторизованным проксей пользователям - тоже только то что указано в filter2
>>А вобще - тема закрыта, вроде бы все удалось
>>Надо было более внимательно пересмотреть правила :)
>
>
>А могли бы показать оканчательный вариант конфига, а то давеча задавал подобный
>вопрос на этом форуме, но советы тогдашние не помогли.
>Тоже squid, samda, на Фрюхе, авторизация в AD.
>Мне нужно было разбить пользователей на 2 группы.
>1-ая куда хочет
>2-ая на конкретный сайт в инете.Траблы были как мне и сказали (http://forum.deepnet.ru/viewtopic.php?t=20)
в списках доступа и порядке узазания acl :)
>>>А вобще - тема закрыта, вроде бы все удалось
>>>Надо было более внимательно пересмотреть правила :)
>>
>>
>>А могли бы показать оканчательный вариант конфига, а то давеча задавал подобный
>>вопрос на этом форуме, но советы тогдашние не помогли.
>>Тоже squid, samda, на Фрюхе, авторизация в AD.
>>Мне нужно было разбить пользователей на 2 группы.
>>1-ая куда хочет
>>2-ая на конкретный сайт в инете.
>
>Траблы были как мне и сказали (http://forum.deepnet.ru/viewtopic.php?t=20)
>в списках доступа и порядке узазания acl :)Извиняюсь, но мне нужно немного другое. Чтобы одни пользователи ходили везде и через авторизацию в AD, а других не надо авторизовать через AD
сделал примерно следующее:
acl proba src 192.168.1.1/255.255.255.255
acl proba1 dstdomain .opennet.ru
http_access allow proba proba1
acl NTLMauth proxy_auth REQUIRED
http_access allow NTLMauthПользователи с AD ходят в инет, все нормально, а пользователь с IP из акцесса proba на opennet.ru ходит, но у него постоянно выходит окно на авторзацию, естественно пользователь никак не авторизуется, жмет отмена или esp, но это при нажатии на каждую ссылку, пользователи жалуются, теперь из-за этого не могу в конторе внедрить авторизацицию через AD :(