URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7030
[ Назад ]

Исходное сообщение
"acl для групп"
Отправлено gsi0 , 20-Сен-13 12:19

Люди, уже голову всю сломал. Подскажите, пожалуйста.
Сервер squid работает с аутентификацией kerberos и авторизацией по группам с помощью хелпера squid_ldap_group (тест squid_ldap_group) проходит удачно и видно подтверждение того, что пользователи находятся в своих группах.
acl у меня такие:
acl OFFICE external ldap_verify Access_Proxy_ftl_OFFICE
acl VIP external ldap_verify Access_Proxy_ftl_VIP
acl media url_regex "/etc/squid/deny_flash.conf"
acl allusers proxy_auth REQUIRED
http_access allow VIP
http_access allow media OFFICE
http_access deny !allusers all
Что хочу получиьт в итоге: acl VIP доступен весь интернет без ограничений.
acl OFFICE должен быть заблокирован доступ к flash контенту.
Файлик: /etc/squid/deny_flash.conf
acl media rep_mime_type video/flv video/x-flv
acl mediapr urlpath_regex \.flv(\?.*)?$
acl media rep_mime_type application/x-shockwave-flash
acl mediapr urlpath_regex \.swf(\?.*)?$
acl mimeblock rep_mime_type -i ^video
acl mimeblock rep_mime_type -i ^audio
#http_access deny mediapr
#http_reply_access deny media
C acl, приведенными сверху, группа VIP работает отлично.
А с acl OFFICE, пользователям из группы OFFICE вообще ничего не доступно: обращаясь на любой веб-сайт, получаю страницу squid: Доступ запрещен. И так абсолютно везде.
Если просто заинклюдить(include) файл deny_flash.conf в конфиг squid, то flash блокируется как и положено, но для всех. А мне нужно только для группы OFFICE. Помогите, пожалуйста.

Содержание

acl для групп,Аноним, 14:01 , 20-Сен-13
- acl для групп,gsi0, 14:34 , 20-Сен-13
  - acl для групп,Аноним, 15:26 , 20-Сен-13
    - acl для групп,gsi0, 16:12 , 20-Сен-13
acl для групп,gsi0, 15:19 , 20-Сен-13
acl для групп,alexpaknix, 09:53 , 02-Окт-13

Сообщения в этом обсуждении

"acl для групп"
Отправлено Аноним , 20-Сен-13 14:01

http_access allow !media OFFICE
Не ?

"acl для групп"
Отправлено gsi0 , 20-Сен-13 14:34

> http_access allow !media OFFICE
> Не ?
Не работает(

"acl для групп"
Отправлено Аноним , 20-Сен-13 15:26

http_access allow VIP
http_access deny media
http_access allow OFFICE

"acl для групп"
Отправлено gsi0 , 20-Сен-13 16:12

> http_access allow VIP
> http_access deny media
> http_access allow OFFICE
Все равно не работает(

"acl для групп"
Отправлено gsi0 , 20-Сен-13 15:19

>[оверквотинг удален]
> acl mimeblock rep_mime_type -i ^audio
> #http_access deny mediapr
> #http_reply_access deny media
> C acl, приведенными сверху, группа VIP работает отлично.
> А с acl OFFICE, пользователям из группы OFFICE вообще ничего не доступно:
> обращаясь на любой веб-сайт, получаю страницу squid: Доступ запрещен. И так
> абсолютно везде.
> Если просто заинклюдить(include) файл deny_flash.conf в конфиг squid, то flash блокируется
> как и положено, но для всех. А мне нужно только для
> группы OFFICE. Помогите, пожалуйста.
Народ, откликнитесь, прошу. Уже и ни спать не могу, ни есть. С работы уволят, трое детей дома голодных =( =)

"acl для групп"
Отправлено alexpaknix , 02-Окт-13 09:53

У вас и не будет работать интернет не для VIP.
Для начала неправильно в этом месте
> acl media url_regex "/etc/squid/deny_flash.conf"
> Файлик: /etc/squid/deny_flash.conf
> acl media rep_mime_type video/flv video/x-flv
> acl mediapr urlpath_regex \.flv(\?.*)?$
> acl media rep_mime_type application/x-shockwave-flash
> acl mediapr urlpath_regex \.swf(\?.*)?$
> acl mimeblock rep_mime_type -i ^video
> acl mimeblock rep_mime_type -i ^audio
прочтите логи там 100% ругается на эту конструкцию.
Вынесите из файла в основной конфиг и сделайте примерно так:
acl allusers proxy_auth REQUIRED
http_access allow VIP
http_access deny media
http_access deny mediarp
http_access deny mimeblock
http_access allow OFFICE
http_access deny all
Попутно прочтите
http://www.squid-cache.org/Doc/config/acl/
http://www.squid-cache.org/Doc/config/http_access/