У меня squid с ntlm авторизацией на основе доменных аккаунтов. squid Работает в связке с winbind.Хотелосьбы чтобы пускало пользователей и с других доменов.
kerberos и samba настроил.Вижу всех пользователей AD . Какие настройки нужно выполнить в squid.conf?
да в общем то только acl прописать. больше ничего и не надо.
>да в общем то только acl прописать. больше ничего и не надо.
>
Пускает пользователей с разных доменов Active Directory если конфиге указатьauth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
#--require-membership-of=1.xxx.ru+inet --require-membership-of=2.ххx.ru+inet
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic
auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
#--require-membership-of=1.xxx.ru --require-membership-of=2.xxx.ru
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hoursесли добовляю --require-membership-of=1.xxx.ru+inet --require-membership-of=2.ххx.ru+inet
перестаёт пускать
что значит прописать acl если можно приведите пример
спасибо
# acl aclname proxy_auth username ...
# acl aclname proxy_auth_regex [-i] pattern ...
# # list of valid usernames
# # use REQUIRED to accept any valid username.соответственно...
acl dom1users proxy_auth dom1+user1 dom1+user2 dom1+user3
acl dom2users proxy_auth dom2+user1 dom2+user2 dom2+user3
ну и потом этот acl в http_access...http_access allow dom1users dom1network
http_access allow dom2users dom2network"dom2+user2" -- здесь плюсик -- это если в smb.conf проставлено winbind separator=+, если нет надо юзать "//".
dom2network -- можно использовать, только нужно определить сначала. А можно просто не указывать.Удачи.
># acl aclname proxy_auth username ...
>
># acl aclname proxy_auth_regex [-i] pattern
>...
># # list of
>valid usernames
># # use REQUIRED
>to accept any valid username.
>
>соответственно...
>
>acl dom1users proxy_auth dom1+user1 dom1+user2 dom1+user3
>acl dom2users proxy_auth dom2+user1 dom2+user2 dom2+user3
>ну и потом этот acl в http_access...
>
>http_access allow dom1users dom1network
>http_access allow dom2users dom2network
>
>"dom2+user2" -- здесь плюсик -- это если в smb.conf проставлено winbind separator=+,
>если нет надо юзать "//".
>dom2network -- можно использовать, только нужно определить сначала. А можно просто не
>указывать.
>
>Удачи.неа, если указать там группы - нифига не работает... а указывать поюзерно - не интересно... может есть еще варианты?
>># acl aclname proxy_auth username ...
>>
>># acl aclname proxy_auth_regex [-i] pattern
>>...
>># # list of
>>valid usernames
>># # use REQUIRED
>>to accept any valid username.
>>
>>соответственно...
>>
>>acl dom1users proxy_auth dom1+user1 dom1+user2 dom1+user3
>>acl dom2users proxy_auth dom2+user1 dom2+user2 dom2+user3
>>ну и потом этот acl в http_access...
>>
>>http_access allow dom1users dom1network
>>http_access allow dom2users dom2network
>>
>>"dom2+user2" -- здесь плюсик -- это если в smb.conf проставлено winbind separator=+,
>>если нет надо юзать "//".
>>dom2network -- можно использовать, только нужно определить сначала. А можно просто не
>>указывать.
>>
>>Удачи.
>
>неа, если указать там группы - нифига не работает... а указывать поюзерно
>- не интересно... может есть еще варианты?
Через внешнии списки можно по группам делать отсев.
external_acl_type ADGroup ttl=0 %LOGIN /usr/local/libexec/squid/wbinfo_group.plдалее
acl inet proxy_auth REQUIRED
Хотя не пробовал у меня один. Но если winbind настроен и видит все домены то и он должен разобратся. Этот скрипт чмиает ID груп с помощью wbinfo.
acl InetUser external ADGroup inetaccess
acl dsGamer external ADGroup dsgroup