URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6444
[ Назад ]

Исходное сообщение
"NTLM + http_reply_access"

Отправлено sid , 07-Июл-10 16:37 
Попал я на такую странную ситуацию:
есть у меня аутентификация NTLM
есть ACL с доменными именами
есть разрешения по IP

И все вроде работает, вот только есть несколько моментов, которые мне не понятны и бесят, а именно:

1 - поведение NTLM авторизации (как только происходит запрос к запрещенному URL-у, то сначала выскакивает запрос пароля и логина, и лишь потом выводится Deny) - почему, а главное как это изменить (все банеры и запрещенные порты, все скачивание файлов...)

2 - поведение http_reply_access при использовании ACL с доменными аккаунтами
Блок http_reply_access работает отлично и разрешает и зарещает все как надо, но как только я записываю в него правило с ACL типа  proxy_auth , то правило это срабатывает всегда (независимо от того, что записано в файле) Почему так? и главное , как это исправить (если возможно)

Конфиг (тестовый)

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 15
auth_param ntlm keep_alive on

acl it_ip src "/usr/local/etc/squid/it_ip" #
acl ip src "/usr/local/etc/squid/ip" #
acl AD_name proxy_auth "/usr/local/etc/squid/applications" #
#
acl SSL_ports port 443
acl SSL_ports port 1863     # msn

acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443     # https
acl Safe_ports port 1863    # msn
acl Safe_ports port 8080    # http
acl Safe_ports port 8081    # http

acl Safe_ports_all port 210     # wais
acl Safe_ports_all port 1025-65535  # unregistered ports
acl Safe_ports_all port 280     # http-mgmt
acl Safe_ports_all port 488     # gss-http
acl Safe_ports_all port 591     # filemaker
acl Safe_ports_all port 777     # multiling http

acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports

acl POST method POST
redirector_access deny POST

acl files rep_mime_type -i ^application/.*$
acl video rep_mime_type -i ^video/.*$
acl image rep_mime_type -i ^image/.*$

http_access allow Safe_ports_all it_ip
http_access allow Safe_ports_all AD_name
http_access deny !Safe_ports

http_access allow it_ip
http_access allow AD_name

http_access deny all

http_reply_access deny image !it_ip !ip

#------Варианты которые пробовал и считаю что должен работать , ан не работает
#http_reply_access allow image AD_name
#http_reply_access allow image it_ip
#http_reply_access deny image

http_reply_access allow all


Содержание

Сообщения в этом обсуждении
"NTLM + http_reply_access"
Отправлено sid , 07-Июл-10 17:05 
При варианте:

http_reply_access allow image it_ip
http_reply_access deny image
http_reply_access allow all

Все работает как надо, вносим в список нужный ip в виде xxx.xxx.xxx.xxx/255.255.255.255
и картинки показываются, а если убираем его из файла - картинки перестают показываться...
все как надо, НО

если ставим в вид

http_reply_access allow image AD_name
http_reply_access allow image it_ip
http_reply_access deny image

http_reply_access allow all

Причем первые 2 строки можно менять порядком, то независимо от того что в файле для ACL AD_name и не зависимо что в файле для ACL it_ip все картинки всегда показываются!!!!
т.е. виноват ACL AD_name. не понимаю почему он постоянно всех пускает, а явно срабатывает он!!