URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6574
[ Назад ]

Исходное сообщение
"имя доменного пользователя в логах squid"

Отправлено georglk , 17-Дек-10 19:55 
Есть W2K3 домен и Linux-сервер с squid3.0.STABLE19-1
squid3 собран с
'--enable-negotiate-auth-helpers=squid_kerb_auth'
'--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,getpwnam,multi-domain-NTLM'
'--enable-digest-auth-helpers=ldap,password'
'--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group'
Доменные пользователи ходят в инет через этот прокси с IE8, в настройках браузеров прокси указан полным именем proxy.firma.lan
На прокси сервере настроена kerberos авторизация в W2K3 домене через keytab
то есть на
kinit -V -k -t /etc/squid3/http.keytab HTTP/proxy.firma.lan
получаю
"Authenticated to Kerberos v5"
в файл /etc/default/squid3 добавлено
KRB5_KTNAME=/etc/squid3/http.keytab
export KRB5_KTNAME
Скажите, как настроить сам squid3, так что бы в access.log кроме имени хоста было и имя доменного пользователя.
Так как ходят через прокси не только "живые" люди, но и например службы работающие в WIN под SYSTEM, ограничивать задачи нет, надо только, что бы в логах было имя доменного пользователя, если такой есть



Содержание

Сообщения в этом обсуждении
"имя доменного пользователя в логах squid"
Отправлено начинающий , 19-Дек-10 21:25 
> Скажите, как настроить сам squid3, так что бы в access.log кроме имени
> хоста было и имя доменного пользователя.

Если правила http_access требуют аутентификацию, то в логе присутствует и имя пользователя.
Во всяком случае, у меня при подобной схеме аутентификации (только MIT Kerberos вместо AD) они есть.