URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4797
[ Назад ]

Исходное сообщение
"Помогите закрыть дырку в SQUID, SOS!!!"
Отправлено alexsf , 29-Мрт-07 16:12

У меня сквид авторизует пользователей через Active Directory. Причем авторизует так, что проходят все кому не лень. Хотя должны ходить только те, кто попадает в группы LowInternetAccess, MediumInternetAccess, HighInternetAccess.
Вот конфиг сквида:
##############
### GLOBAL ###
##############
cache_peer xxx.xxx.xxx.xxx parent 3128 3130 no-query no-digest
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_dir ufs /var/cache/squid 16384 16 256
forwarded_for xxx.xxx.xxx.xxx
cache_mgr legion@proxy.asdkalsdkasd.com.ua
quick_abort_min 0 KB
quick_abort_max 0 KB
http_port 8080
######################
##### AUTH_PARAM #####
######################
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm max_challenge_reuses 0
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
#################
###### ACL ######
#################
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_objects
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 5190
acl Safe_ports port 21 70 80 210 280 443 488 563 591 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
acl bad_url url_regex "/etc/squid/bad_url"
acl microsoft url_regex "/etc/squid/microsoft"
acl bad_files urlpath_regex .dat$ .wav$ .avi$ .wmv$ .mpg$ .mp3$ .mov$ .wmf$ .3gp$ .mpeg$ .mpeg4$ .ogg$ .wma$ .m3u$ .djvu$ .flv$
acl adLowSpeed proxy_auth REQUIRED LowInternetAccess
acl adMediumSpeed proxy_auth REQUIRED MediumInternetAccess
acl adHighSpeed proxy_auth REQUIRED HighInternetAccess
#########################
###### HTTP_ACCESS ######
#########################
never_direct allow all
http_access allow manager localhost
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow adLowSpeed !bad_url !bad_files !microsoft
http_access allow adMediumSpeed !bad_url !bad_files !microsoft
http_access allow adHighSpeed !bad_url !bad_files !microsoft
http_access deny all

#########################
###### DELAY_POOLS ######
#########################
#delay_pools 3
#delay_class 1 1
#delay_parameters 1 5000/5000
#delay_access 1 allow adLowSpeed
#delay_access 1 deny all
#delay_class 2 1
#delay_parameters 2 15000/15000
#delay_access 2 allow adMediumSpeed
#delay_access 2 deny all
#delay_class 3 1
#delay_parameters 3 50000/50000
#delay_access 3 allow adHighSpeed
#delay_access 3 deny all
Проходят все пользователи домена, которые хотят, независимо от того, в какой группе состоят. Помогите, где дырка!!!!
Примерно через 30 минут меня начнут резать на куски директора. Помогите остаться в живых :)

Содержание

Помогите закрыть дырку в SQUID, SOS!!!,ncp, 17:07 , 29-Мрт-07
Помогите закрыть дырку в SQUID, SOS!!!,Kliver, 18:04 , 29-Мрт-07
- Помогите закрыть дырку в SQUID, SOS!!!,alexsf, 18:06 , 29-Мрт-07

Сообщения в этом обсуждении

"Помогите закрыть дырку в SQUID, SOS!!!"
Отправлено ncp , 29-Мрт-07 17:07

>У меня сквид авторизует пользователей через Active Directory. Причем авторизует так, что
>проходят все кому не лень. Хотя должны ходить только те, кто
>попадает в группы LowInternetAccess, MediumInternetAccess, HighInternetAccess.
>
>Вот конфиг сквида:
>
>##############
>### GLOBAL ###
>##############
>
>cache_peer xxx.xxx.xxx.xxx parent 3128 3130 no-query no-digest
>hierarchy_stoplist cgi-bin ?
>acl QUERY urlpath_regex cgi-bin \?
>no_cache deny QUERY
>cache_dir ufs /var/cache/squid 16384 16 256
>forwarded_for xxx.xxx.xxx.xxx
>cache_mgr legion@proxy.asdkalsdkasd.com.ua
>quick_abort_min 0 KB
>quick_abort_max 0 KB
>http_port 8080
>
>######################
>##### AUTH_PARAM #####
>######################
>
>auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>auth_param ntlm children 10
>auth_param ntlm max_challenge_reuses 0
>
>auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
>auth_param basic children 10
>auth_param basic realm Squid proxy-caching web server
>auth_param basic credentialsttl 2 hours
>
>#################
>###### ACL ######
>#################
>
>acl all src 0.0.0.0/0.0.0.0
>acl manager proto cache_objects
>acl localhost src 127.0.0.1/255.255.255.255
>acl SSL_ports port 443 563 5190
>acl Safe_ports port 21 70 80 210 280 443 488 563 591
>777 901 1025-65535
>acl purge method PURGE
>acl CONNECT method CONNECT
>
>acl bad_url url_regex "/etc/squid/bad_url"
>acl microsoft url_regex "/etc/squid/microsoft"
>acl bad_files urlpath_regex .dat$ .wav$ .avi$ .wmv$ .mpg$ .mp3$ .mov$ .wmf$ .3gp$
>.mpeg$ .mpeg4$ .ogg$ .wma$ .m3u$ .djvu$ .flv$
>
>acl adLowSpeed proxy_auth REQUIRED LowInternetAccess
>acl adMediumSpeed proxy_auth REQUIRED MediumInternetAccess
>acl adHighSpeed proxy_auth REQUIRED HighInternetAccess
>
>#########################
>###### HTTP_ACCESS ######
>#########################
>
>never_direct allow all
>
>http_access allow manager localhost
>http_access allow purge localhost
>http_access deny purge
>http_access deny !Safe_ports
>http_access deny CONNECT !SSL_ports
>http_access allow localhost
>
>http_access allow adLowSpeed !bad_url !bad_files !microsoft
>http_access allow adMediumSpeed !bad_url !bad_files !microsoft
>http_access allow adHighSpeed !bad_url !bad_files !microsoft
>http_access deny all
>
>
>#########################
>###### DELAY_POOLS ######
>#########################
>
>#delay_pools 3
>
>#delay_class 1 1
>#delay_parameters 1 5000/5000
>#delay_access 1 allow adLowSpeed
>#delay_access 1 deny all
>
>#delay_class 2 1
>#delay_parameters 2 15000/15000
>#delay_access 2 allow adMediumSpeed
>#delay_access 2 deny all
>
>#delay_class 3 1
>#delay_parameters 3 50000/50000
>#delay_access 3 allow adHighSpeed
>#delay_access 3 deny all
>
>Проходят все пользователи домена, которые хотят, независимо от того, в какой группе
>состоят. Помогите, где дырка!!!!
>Примерно через 30 минут меня начнут резать на куски директора. Помогите остаться
>в живых :)

Уже должны были порезать... Жаль...

"Помогите закрыть дырку в SQUID, SOS!!!"
Отправлено Kliver , 29-Мрт-07 18:04

>У меня сквид авторизует пользователей через Active Directory. Причем авторизует так, что
>проходят все кому не лень. Хотя должны ходить только те, кто
>попадает в группы LowInternetAccess, MediumInternetAccess, HighInternetAccess.
>
>Вот конфиг сквида:
>
>##############
>### GLOBAL ###
>##############
>
>cache_peer xxx.xxx.xxx.xxx parent 3128 3130 no-query no-digest
>hierarchy_stoplist cgi-bin ?
>acl QUERY urlpath_regex cgi-bin \?
>no_cache deny QUERY
>cache_dir ufs /var/cache/squid 16384 16 256
>forwarded_for xxx.xxx.xxx.xxx
>cache_mgr legion@proxy.asdkalsdkasd.com.ua
>quick_abort_min 0 KB
>quick_abort_max 0 KB
>http_port 8080
>
>######################
>##### AUTH_PARAM #####
>######################
>
>auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>auth_param ntlm children 10
>auth_param ntlm max_challenge_reuses 0
>
>auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
>auth_param basic children 10
>auth_param basic realm Squid proxy-caching web server
>auth_param basic credentialsttl 2 hours
>
>#################
>###### ACL ######
>#################
>
>acl all src 0.0.0.0/0.0.0.0
>acl manager proto cache_objects
>acl localhost src 127.0.0.1/255.255.255.255
>acl SSL_ports port 443 563 5190
>acl Safe_ports port 21 70 80 210 280 443 488 563 591
>777 901 1025-65535
>acl purge method PURGE
>acl CONNECT method CONNECT
>
>acl bad_url url_regex "/etc/squid/bad_url"
>acl microsoft url_regex "/etc/squid/microsoft"
>acl bad_files urlpath_regex .dat$ .wav$ .avi$ .wmv$ .mpg$ .mp3$ .mov$ .wmf$ .3gp$
>.mpeg$ .mpeg4$ .ogg$ .wma$ .m3u$ .djvu$ .flv$
>
>acl adLowSpeed proxy_auth REQUIRED LowInternetAccess
>acl adMediumSpeed proxy_auth REQUIRED MediumInternetAccess
>acl adHighSpeed proxy_auth REQUIRED HighInternetAccess
А где написано, что здесь можно писать имя группы AD? Тут только имена пользоватлей или REQUIRED без всяких параметров.
Имя группы можно задавать в параметрах ntlm_auth (--require-membership-of) но только одну
или смотри http://www.opennet.me/tips/info/1007.shtml
>Проходят все пользователи домена, которые хотят, независимо от того, в какой группе
>состоят. Помогите, где дырка!!!!
>Примерно через 30 минут меня начнут резать на куски директора. Помогите остаться
>в живых :)

"Помогите закрыть дырку в SQUID, SOS!!!"
Отправлено alexsf , 29-Мрт-07 18:06

>А где написано, что здесь можно писать имя группы AD? Тут только
>имена пользоватлей или REQUIRED без всяких параметров.
>Имя группы можно задавать в параметрах ntlm_auth (--require-membership-of) но только одну
>или смотри http://www.opennet.me/tips/info/1007.shtml
Спасибо большое. Прав на все 100. Помогло.