URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 1169
[ Назад ]

Исходное сообщение
"Доступа через SQUID к определенным ресурсам на уровне групп AD"

Отправлено Den_Urasov , 24-Янв-07 11:48 
Помогите решить следующую задачу с разрешением доступа к определенным ресурсам на уровне групп.
_Имеем_: Стандартную аутентификацию пользователей через NTLM. Т.е. если пользователь принадлежить группе "Internet-Access", то сквид пускает его:

auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-787762258-882461402-281947949-2472
auth_param ntlm children 10
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl myusers proxy_auth REQUIRED
      http_access allow myusers

_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru.
Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к разным acl, но как?
Помогите пожалуйста!

Содержание

Сообщения в этом обсуждении
"Доступа через SQUID к определенным ресурсам на уровне групп ..."
Отправлено Amazonka , 24-Янв-07 12:03 
>Помогите решить следующую задачу с разрешением доступа к определенным ресурсам на уровне
>групп.
>_Имеем_: Стандартную аутентификацию пользователей через NTLM. Т.е. если пользователь принадлежить группе "Internet-Access",
>то сквид пускает его:
>
>auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-787762258-882461402-281947949-2472
>auth_param ntlm children 10
>auth_param ntlm max_challenge_reuses 0
>auth_param ntlm max_challenge_lifetime 2 minutes
>
>auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
>auth_param basic children 10
>auth_param basic realm Squid proxy-caching web server
>auth_param basic credentialsttl 2 hours
>
> acl myusers proxy_auth REQUIRED
>      http_access allow myusers
>
>_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны
>иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru.
>Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к
>разным acl, но как?
>Помогите пожалуйста!

acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов

http_access allow Internet-Limit allowURLS // група Internet-Limit ходит только по сайтам, заданным в файле spisok.


"Доступа через SQUID к определенным ресурсам на уровне групп ..."
Отправлено Den_Urasov , 24-Янв-07 12:13 
>>_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны
>>иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru.
>>Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к
>>разным acl, но как?
>>Помогите пожалуйста!
>
>acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов
>
>
>http_access allow Internet-Limit allowURLS // група Internet-Limit ходит только по сайтам, заданным
>в файле spisok.
Internet-Limit - группа в AD
Такое правило явно не будет работать: http_access allow Internet-Limit allowURLS
Откуда squid узнает какие пользователи принадлежат группе Internet-Limit?

"Доступа через SQUID к определенным ресурсам на уровне групп ..."
Отправлено Amazonka , 24-Янв-07 13:01 
>Internet-Limit - группа в AD
>Такое правило явно не будет работать: http_access allow Internet-Limit allowURLS
>Откуда squid узнает какие пользователи принадлежат группе Internet-Limit?
Надо сквиду задать группу аслем в сквиде.У тебя как в АД как группа задана? В сквиде можно по IP-адресам, можно по логинам, можно по тем и другим :).
Тут неплохая статья по настройке: http://www.lissyara.su/?id=1026

"Доступа через SQUID к определенным ресурсам на уровне групп ..."
Отправлено Den_Urasov , 24-Янв-07 13:49 
>>Internet-Limit - группа в AD
>>Такое правило явно не будет работать: http_access allow Internet-Limit allowURLS
>>Откуда squid узнает какие пользователи принадлежат группе Internet-Limit?
>Надо сквиду задать группу аслем в сквиде.У тебя как в АД как
>группа задана? В сквиде можно по IP-адресам, можно по логинам, можно
>по тем и другим :).
>Тут неплохая статья по настройке: http://www.lissyara.su/?id=1026
Мне нужно настроить squid и не лазить больше в конфиги, а управлять пользователями только из AD. Пришел новый сотрудник, добавил его в группу Internet-Limit, его автоматически squid начал пускать только на определенные сайты. Уволился сотрудник, удалил его из группы и все. Не нужно лазить в конфиги и править их постоянно. Поэтому авторизация по IP-адресу или по логинам, которые скажем в текстовом файле лежат - мне не подходит. Нужна именно авторизация из домена Windows.

"Доступа через SQUID к определенным ресурсам на уровне групп ..."
Отправлено Kliver , 24-Янв-07 15:23 
>>>Internet-Limit - группа в AD
>>Тут неплохая статья по настройке: http://www.lissyara.su/?id=1026
>Мне нужно настроить squid и не лазить больше в конфиги, а управлять
>пользователями только из AD. Пришел новый сотрудник, добавил его в группу
>Internet-Limit, его автоматически squid начал пускать только на определенные сайты. Уволился
>сотрудник, удалил его из группы и все. Не нужно лазить в
>конфиги и править их постоянно. Поэтому авторизация по IP-адресу или по
>логинам, которые скажем в текстовом файле лежат - мне не подходит.
>Нужна именно авторизация из домена Windows.

Взять wbinfo_group.pl
переделать, чтобы он сохранял список пользователей группы в файл и этот файл использовать в acl.
Этот способ здесь как-то проскакивал вместе со скриптом



"Доступа через SQUID к определенным ресурсам на уровне групп ..."
Отправлено april , 21-Фев-07 21:21 
у меня wbinfo_group.pl зависает на строчке wbinfo -r
соотвественно юзерам отлуп
FreeBSD 6.2
samba 3.0.23c
squid 2.6stable3

"Доступа через SQUID к определенным ресурсам на уровне групп ..."
Отправлено Ruslan , 06-Апр-10 15:12 
>[оверквотинг удален]
>>иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru.
>>Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к
>>разным acl, но как?
>>Помогите пожалуйста!
>
>acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов
>
>
>http_access allow Internet-Limit allowURLS // група Internet-Limit ходит только по сайтам, заданным
>в файле spisok.

acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов
http_access allow Internet-Limit allowURLS // група Internet-Limit ходит по сайтам, заданным
http_access allow Internet-Limit !allowURLS // група Internet-Limit не ходит по сайтам, не заданным
вот так работает стабильнее.


"Доступа через SQUID к определенным ресурсам на уровне групп ..."
Отправлено echo , 24-Янв-07 12:04 
вопрос по текущей задачке, а как вы получили SID группы? у меня wbinfo посылает нафиг с сообщением Could not lookup name inet, при этом SID пользователя отдает исправно ...

"Доступа через SQUID к определенным ресурсам на уровне групп ..."
Отправлено Den_Urasov , 24-Янв-07 12:15 
>вопрос по текущей задачке, а как вы получили SID группы? у меня
>wbinfo посылает нафиг с сообщением Could not lookup name inet, при
>этом SID пользователя отдает исправно ...
Я узнавал SID группы выполнив следующую команду:
wbinfo -n "Internet Access"
Получаем, например, такую информацию:
S-1-5-21-946522595-3288868333-4157271670-1186 Local Group (4)
Это и есть SID нашей группы.