Стоит squid 2.6 в связке с AD 2003. Некоей группе пользователей не доступны некоторые ресурсы.
acl students external nt_group students
acl bad_url_students url_regex "/etc/squid/bad_url_students"
http_access deny bad_url_students studentsоднако, при доступе браузер не просто отказывает, а начинает доставать окошком на ввод данных другого пользователя, угоманиваясь раз на пятый. Можно ли как-то сделать чтобы он не просил данные другого пользователя, а сразу отказывал в доступе?
>acl students external nt_group students
>http_access deny bad_url_students students
>однако, при доступе браузер не просто отказывает, а начинает доставать окошком на
>ввод данных другого пользователяВ FAQ-е сквида было что-то про то, последним ли в правиле стоит ACL авторизации... Попробуй:
http_access deny students bad_url_students
>http_access deny students bad_url_studentsОгромное спасибо!
Очень похожая проблема, уже замахался с ней.
Есть группа пользователей в AD которым разрешено ходить на определенные сайты, и всё.При заходе на сайты из списка разрешенных, при попытке загрузки всяких банеров/счетчиков с этих сайтов, получаю целую кучу окон с запросом логина / пароля. И на месте банеров стандартное окошко:
При отриманні URL: http://s.holder.com.ua/s? виникла помилка.Доступ до кешу заборонено
Вибачте, Вам зараз не дозволено запитувати http://s.holder.com.ua/s? з цього кешу. Спочатку авторизуйтеся.
Будь-ласка, зв'яжіться з Адміністратором кешу, якщо у Вас виникли труднощі з авторизацією, або змініть Ваш пароль.
Подскажите, пожалуйста, что не так настроено, почему просит авторизироваться, а не просто рубит?
proxy# squid -v
Squid Cache: Version 3.1.3
configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd8.0' 'build_alias=i386-portbld-freebsd8.0' 'CC=cc' 'CFLAGS=-O2 -pipe -fno-strict-aliasing' 'LDFLAGS=' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -fno-strict-aliasing' --with-squid=/work/a/ports/www/squid31/work/squid-3.1.3 --enable-ltdl-convenience
Кусок squid.conf:acl confirmed dstdomain "/usr/local/etc/squid/confirmed"
acl ADusers proxy_auth REQUIRED
acl ADconf external nt_group confinethttp_access deny !ADusers
http_access allow ADconf confirmed
http_access deny ADconf
http_access deny all
Нужно вместо запрещенных сайтов отдавать нормальную страницу, на которой написать, "вход запрещен".Воспользуйтесь редиректором.
> Очень похожая проблема, уже замахался с ней.
> Есть группа пользователей в AD которым разрешено ходить на определенные сайты, и
> всё.[Хотя я с авторизациеей в сквиде не работаю, и скорее всего ошибаюсь~~~]
Этой группе после авторизации запрещать всё [=остальное], чтобы авторизация по другим группам у них уже не спрашивала пароль. +То, что выше, учесть -- про послежним -- не последним ACL авторизации.
Что-то вродеhttp_access allow good_sites_for_users1 users1
http_access deny users1 all#До этого ACL и авторизации по нему те, что авторизованы по users1, не должны дойти сюда.
http_access allow users2http_access deny all