Помогите решить следующую задачу с разрешением доступа к определенным ресурсам на уровне групп.
_Имеем_: Стандартную аутентификацию пользователей через NTLM. Т.е. если пользователь принадлежить группе "Internet-Access", то сквид пускает его:
auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-787762258-882461402-281947949-2472
auth_param ntlm children 10
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl myusers proxy_auth REQUIRED
http_access allow myusers
_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru.
Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к разным acl, но как?
Помогите пожалуйста!
>Помогите решить следующую задачу с разрешением доступа к определенным ресурсам на уровне
>групп.
>_Имеем_: Стандартную аутентификацию пользователей через NTLM. Т.е. если пользователь принадлежить группе "Internet-Access",
>то сквид пускает его:
>
>auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-787762258-882461402-281947949-2472
>auth_param ntlm children 10
>auth_param ntlm max_challenge_reuses 0
>auth_param ntlm max_challenge_lifetime 2 minutes
>
>auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
>auth_param basic children 10
>auth_param basic realm Squid proxy-caching web server
>auth_param basic credentialsttl 2 hours
>
> acl myusers proxy_auth REQUIRED
> http_access allow myusers
>
>_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны
>иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru.
>Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к
>разным acl, но как?
>Помогите пожалуйста!acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов
http_access allow Internet-Limit allowURLS // група Internet-Limit ходит только по сайтам, заданным в файле spisok.
>>_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны
>>иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru.
>>Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к
>>разным acl, но как?
>>Помогите пожалуйста!
>
>acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов
>
>
>http_access allow Internet-Limit allowURLS // група Internet-Limit ходит только по сайтам, заданным
>в файле spisok.
Internet-Limit - группа в AD
Такое правило явно не будет работать: http_access allow Internet-Limit allowURLS
Откуда squid узнает какие пользователи принадлежат группе Internet-Limit?
>Internet-Limit - группа в AD
>Такое правило явно не будет работать: http_access allow Internet-Limit allowURLS
>Откуда squid узнает какие пользователи принадлежат группе Internet-Limit?
Надо сквиду задать группу аслем в сквиде.У тебя как в АД как группа задана? В сквиде можно по IP-адресам, можно по логинам, можно по тем и другим :).
Тут неплохая статья по настройке: http://www.lissyara.su/?id=1026
>>Internet-Limit - группа в AD
>>Такое правило явно не будет работать: http_access allow Internet-Limit allowURLS
>>Откуда squid узнает какие пользователи принадлежат группе Internet-Limit?
>Надо сквиду задать группу аслем в сквиде.У тебя как в АД как
>группа задана? В сквиде можно по IP-адресам, можно по логинам, можно
>по тем и другим :).
>Тут неплохая статья по настройке: http://www.lissyara.su/?id=1026
Мне нужно настроить squid и не лазить больше в конфиги, а управлять пользователями только из AD. Пришел новый сотрудник, добавил его в группу Internet-Limit, его автоматически squid начал пускать только на определенные сайты. Уволился сотрудник, удалил его из группы и все. Не нужно лазить в конфиги и править их постоянно. Поэтому авторизация по IP-адресу или по логинам, которые скажем в текстовом файле лежат - мне не подходит. Нужна именно авторизация из домена Windows.
>>>Internet-Limit - группа в AD
>>Тут неплохая статья по настройке: http://www.lissyara.su/?id=1026
>Мне нужно настроить squid и не лазить больше в конфиги, а управлять
>пользователями только из AD. Пришел новый сотрудник, добавил его в группу
>Internet-Limit, его автоматически squid начал пускать только на определенные сайты. Уволился
>сотрудник, удалил его из группы и все. Не нужно лазить в
>конфиги и править их постоянно. Поэтому авторизация по IP-адресу или по
>логинам, которые скажем в текстовом файле лежат - мне не подходит.
>Нужна именно авторизация из домена Windows.Взять wbinfo_group.pl
переделать, чтобы он сохранял список пользователей группы в файл и этот файл использовать в acl.
Этот способ здесь как-то проскакивал вместе со скриптом
у меня wbinfo_group.pl зависает на строчке wbinfo -r
соотвественно юзерам отлуп
FreeBSD 6.2
samba 3.0.23c
squid 2.6stable3
>[оверквотинг удален]
>>иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru.
>>Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к
>>разным acl, но как?
>>Помогите пожалуйста!
>
>acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов
>
>
>http_access allow Internet-Limit allowURLS // група Internet-Limit ходит только по сайтам, заданным
>в файле spisok.acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов
http_access allow Internet-Limit allowURLS // група Internet-Limit ходит по сайтам, заданным
http_access allow Internet-Limit !allowURLS // група Internet-Limit не ходит по сайтам, не заданным
вот так работает стабильнее.
вопрос по текущей задачке, а как вы получили SID группы? у меня wbinfo посылает нафиг с сообщением Could not lookup name inet, при этом SID пользователя отдает исправно ...
>вопрос по текущей задачке, а как вы получили SID группы? у меня
>wbinfo посылает нафиг с сообщением Could not lookup name inet, при
>этом SID пользователя отдает исправно ...
Я узнавал SID группы выполнив следующую команду:
wbinfo -n "Internet Access"
Получаем, например, такую информацию:
S-1-5-21-946522595-3288868333-4157271670-1186 Local Group (4)
Это и есть SID нашей группы.