URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6444
[ Назад ]

Исходное сообщение
"NTLM + http_reply_access"
Отправлено sid , 07-Июл-10 16:37

Попал я на такую странную ситуацию:
есть у меня аутентификация NTLM
есть ACL с доменными именами
есть разрешения по IP
И все вроде работает, вот только есть несколько моментов, которые мне не понятны и бесят, а именно:
1 - поведение NTLM авторизации (как только происходит запрос к запрещенному URL-у, то сначала выскакивает запрос пароля и логина, и лишь потом выводится Deny) - почему, а главное как это изменить (все банеры и запрещенные порты, все скачивание файлов...)
2 - поведение http_reply_access при использовании ACL с доменными аккаунтами
Блок http_reply_access работает отлично и разрешает и зарещает все как надо, но как только я записываю в него правило с ACL типа  proxy_auth , то правило это срабатывает всегда (независимо от того, что записано в файле) Почему так? и главное , как это исправить (если возможно)
Конфиг (тестовый)
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 15
auth_param ntlm keep_alive on
acl it_ip src "/usr/local/etc/squid/it_ip" #
acl ip src "/usr/local/etc/squid/ip" #
acl AD_name proxy_auth "/usr/local/etc/squid/applications" #
#
acl SSL_ports port 443
acl SSL_ports port 1863     # msn
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443     # https
acl Safe_ports port 1863    # msn
acl Safe_ports port 8080    # http
acl Safe_ports port 8081    # http
acl Safe_ports_all port 210     # wais
acl Safe_ports_all port 1025-65535  # unregistered ports
acl Safe_ports_all port 280     # http-mgmt
acl Safe_ports_all port 488     # gss-http
acl Safe_ports_all port 591     # filemaker
acl Safe_ports_all port 777     # multiling http
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports
acl POST method POST
redirector_access deny POST
acl files rep_mime_type -i ^application/.*$
acl video rep_mime_type -i ^video/.*$
acl image rep_mime_type -i ^image/.*$
http_access allow Safe_ports_all it_ip
http_access allow Safe_ports_all AD_name
http_access deny !Safe_ports
http_access allow it_ip
http_access allow AD_name
http_access deny all
http_reply_access deny image !it_ip !ip
#------Варианты которые пробовал и считаю что должен работать , ан не работает
#http_reply_access allow image AD_name
#http_reply_access allow image it_ip
#http_reply_access deny image
http_reply_access allow all

Содержание

NTLM + http_reply_access,sid, 17:05 , 07-Июл-10

Сообщения в этом обсуждении

"NTLM + http_reply_access"
Отправлено sid , 07-Июл-10 17:05

При варианте:
http_reply_access allow image it_ip
http_reply_access deny image
http_reply_access allow all
Все работает как надо, вносим в список нужный ip в виде xxx.xxx.xxx.xxx/255.255.255.255
и картинки показываются, а если убираем его из файла - картинки перестают показываться...
все как надо, НО
если ставим в вид
http_reply_access allow image AD_name
http_reply_access allow image it_ip
http_reply_access deny image
http_reply_access allow all
Причем первые 2 строки можно менять порядком, то независимо от того что в файле для ACL AD_name и не зависимо что в файле для ACL it_ip все картинки всегда показываются!!!!
т.е. виноват ACL AD_name. не понимаю почему он постоянно всех пускает, а явно срабатывает он!!