URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 5341
[ Назад ]

Исходное сообщение
"Иерархия прокси. Аутентификация. "
Отправлено sanchesws , 17-Янв-08 10:47

Доброго времени суток.
Есть 2 прокси на двух машинах ip1 и ip2.
Настроен обмен кешем между ними.
На ip1 ограничение доступа по ипам, а вот после того, как был настроен доступ к ip2 только по логину и паролю, все юзера, работающие через ip1 стали получать сообщение о том, что необходима аутентификация _именно на ip1_, и сообщение возникает только после того, так проски ip1 пытается что-то стянуть из кеша прокси ip2.
Настройки ip1
cache_peer ip2         sibling   3128  3130  proxy-only
Настойки ip2
cache_peer ip1         sibling   3128  3130  proxy-only
# включение авторизации
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
acl mb  proxy_auth [-i] user
http_access allow mb
http_access deny all.

Как понял из мануала, есть решение вопроса добавлением опции login=user:password в конфиг ip1:
cache_peer ip2         sibling   3128  3130  proxy-only login=user:password
А есть ли способы избежать запроса ненужной аутентификации для юзеров прокси ip1 без применения опции login, дабы не светить лишний раз логинами и паролями на доступ к ip2?

Содержание

Иерархия прокси. Аутентификация. ,sanchesws, 11:41 , 17-Янв-08
Иерархия прокси. Аутентификация. ,Дмитрий Ю. Карпов, 13:12 , 17-Янв-08
Иерархия,Andrey Mitrofanov, 13:23 , 17-Янв-08
- Иерархия,sanchesws, 13:26 , 04-Фев-08

Сообщения в этом обсуждении

"Иерархия прокси. Аутентификация. "
Отправлено sanchesws , 17-Янв-08 11:41

Забыл добавить: squid/2.6.STABLE18.

"Иерархия прокси. Аутентификация. "
Отправлено Дмитрий Ю. Карпов , 17-Янв-08 13:12

На ip2 настрой доступ от ip1 по номеру, причём это разрешение д.б. до проверок разрешения по имени.
PS: Это элементарно.

"Иерархия"
Отправлено Andrey Mitrofanov , 17-Янв-08 13:23

>Настройки ip1
>cache_peer ip2         sibling
> 3128  3130  proxy-only
>
>Настойки ip2
>cache_peer ip1         sibling
> 3128  3130  proxy-only
Кстати, если "в обратную сторону" тоже "пиришь", то в конфиге ip1 стоит наверное тоже озаботиться разграничением доступа - тех, кто через ip2 пришёл.
># включение авторизации
>auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
>acl mb  proxy_auth [-i] user
acl ip1 <...чего-нибудь, определяющее доступ с ip1, `src a.b.c.d`, например...>
miss_access deny ip1  #только к тому, что уже в кеше пускаем, так?
http_access allow ip1
#то есть разрешить^^^ доступ до-vvv- проверки паролей
>http_access allow mb
>http_access deny all.
>Как понял из мануала, есть решение вопроса добавлением опции login=user:password в конфиг
ну, да, наверное...
>А есть ли способы избежать запроса ненужной аутентификации для юзеров прокси ip1
>без применения опции login,
Я так понимаю, если `http_access allow` разрешит доступ до первой проверки пароля (=использования `acl * *_auth`), получится доступ без пароля. См.выше.
>дабы не светить лишний раз логинами и паролями
это как?? кругом враги снифят трафик или все кругом регулярно читают твой squid.conf?
>на доступ к ip2?

"Иерархия"
Отправлено sanchesws , 04-Фев-08 13:26

Спасибо!
Просто была попытка создать дружественные прокси среди юзеров одного провайдера, с целью экономии трафика.