https://www.opennet.ru/openforum/vsluhforumID12/3857.html Есть сервер FreeBSD 5.4, на нём Samba 3.0.12 и Squid 2.5 stable12. Контроллер домена на NT4. <br>Нужно пропускать юзеров в инет только если они в определённой доменной группе.<br><br>В Squid'е прописал:<br>auth_param ntlm program /где-то там/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAIN\\Squidgroup<br><br>acl Squidgroup proxy_auth REQUIRED <br>http_access allow Squidgroup<br>http_access deny all<br><br>Но пропускает ЛЮБЫХ доменных пользователей!<br>А нужно только из определённой группы. Подскажите, кто знает.<br> https://www.opennet.ru/openforum/vsluhforumID12/3857.html#8 Mon, 14 Apr 2008 09:54:40 GMT &gt;вареантов просто куча самы простой собираеш squid с поддержкой arp примерно во <br>&gt;так <br>&gt;<br>&gt;./configure --prefix=/usr/local/squid --enable-delay-pools \ <br>&gt; --enable-arp-acl --enable-storeio=ufs,aufs --enable-async-io \ <br>&gt; --enable-poll --enable-auth=basic,ntlm --enable-auth-modules=SMB \ <br>&gt; --enable-basic-helpers=SMB --enable-ntlm-modules=SMB --enable-ssl \ <br>&gt; --disable-internal-dns <br>&gt;<br><br>Большое спасибо за чтоль ценный камментарий.<br>Буду иметь ввиду.<br> https://www.opennet.ru/openforum/vsluhforumID12/3857.html#7 Sat, 12 Apr 2008 15:53:22 GMT вареантов просто куча самы простой собираеш squid с поддержкой arp примерно во так<br><br>./configure --prefix=/usr/local/squid --enable-delay-pools \<br> --enable-arp-acl --enable-storeio=ufs,aufs --enable-async-io \<br> --enable-poll --enable-auth=basic,ntlm --enable-auth-modules=SMB \<br> --enable-basic-helpers=SMB --enable-ntlm-modules=SMB --enable-ssl \<br> --disable-internal-dns <br><br>потом в конфиге прописываеш<br><br>#Defaults:<br>acl all src 192.168.1.0/255.255.255.0<br><br># Авторизация по ARP<br>acl ra arp 00:22:45:e5:fb:c0<br>acl ri arp 00:22:45:fb:09:62<br>acl mar arp 00:a0:db:5c:f4:6e<br><br><br>http_access allow localhost<br>http_access allow ra<br>http_access allow ri<br>http_access allow mar<br><br>http_access deny all<br><br>и все проблемы ходить будут только сетевухи с этими маками<br> https://www.opennet.ru/openforum/vsluhforumID12/3857.html#6 Tue, 29 Aug 2006 07:20:26 GMT &gt;Небольшое дополнение: <br>&gt;Информация о членстве в группе хранится в кеше squida (по умолчанию) 1 <br>&gt;час, а в кеше Winbinda - 300 сек. Чтобы не ждать <br>&gt;столько времени при перемещении пользователя из одной группы в другую советую <br>&gt;добавить в squid.conf при описании внешиx ACL опцию ttl, <br>&gt;примерно так: <br>&gt;<br>&gt; external_acl_type InetGroup-proxy-08-20ww ttl=0 %LOGIN /usr/local/squid/libexec/wbinfo_group.pl <br>&gt;<br>&gt;а в smb.conf: <br>&gt; [global] <br>&gt; winbind cache time <br>&gt;= 0 <br>&gt;<br>&gt;Удачи. <br><br><br>Большое спасибо за совет. https://www.opennet.ru/openforum/vsluhforumID12/3857.html#5 Wed, 14 Jun 2006 09:09:28 GMT Небольшое дополнение:<br>Информация о членстве в группе хранится в кеше squida (по умолчанию) 1 час, а в кеше Winbinda - 300 сек. Чтобы не ждать столько времени при перемещении пользователя из одной группы в другую советую добавить в squid.conf при описании внешиx ACL опцию ttl, <br>примерно так:<br><br> external_acl_type InetGroup-proxy-08-20ww ttl=0 %LOGIN /usr/local/squid/libexec/wbinfo_group.pl <br><br>а в smb.conf:<br> [global]<br> winbind cache time = 0<br><br>Удачи. https://www.opennet.ru/openforum/vsluhforumID12/3857.html#4 Wed, 17 May 2006 09:39:33 GMT &gt;Сам сейчас разбираюсь. <br>&gt;Причем на одном сервере все ОК. <br>&gt;А со вторым проблема, авторизирует всех пользователей домена, а не только из <br>&gt;заданной группы. <br>&gt;А вот запись у тебя правильная СиАйДишник можно не указывать. У тебя <br>&gt;корректно он преобразуется из Записи Domain\SquidGroup. <br>&gt;Тут в другом проблема... но вот в чем? <br><br>Привет. Год назад решал подобную проблему. Скажу честно - замучился искать решение, но нашел.<br>Работает примерно на 800 пользователях.<br><br>Привожу свои конфиги. Уверен, что помогут.<br><br>----------------------------------------------------------------------------------------------------------<br>В squid.conf<br>----------------------------------------------------------------------------------------------------------<br>Здесь описываем внешие ACL<br>external_acl_type InetGroup-proxy-08-20ww %LOGIN /usr/local/squid/libexec/wbinfo_group.pl<br># accesse in internet in work week from 08-00 to 20-00<br>external_acl_type InetGroup-proxy-08-20aw %LOGIN /usr/local/squid/libexec/wbinfo_group.pl<br># access https://www.opennet.ru/openforum/vsluhforumID12/3857.html#3 Thu, 27 Apr 2006 11:00:04 GMT Сам сейчас разбираюсь.<br>Причем на одном сервере все ОК.<br>А со вторым проблема, авторизирует всех пользователей домена, а не только из заданной группы.<br>А вот запись у тебя правильная СиАйДишник можно не указывать. У тебя корректно он преобразуется из Записи Domain\SquidGroup.<br>Тут в другом проблема... но вот в чем? https://www.opennet.ru/openforum/vsluhforumID12/3857.html#2 Thu, 09 Feb 2006 15:32:54 GMT &gt;Указывай SID группы в виде <br>&gt;auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=S-1-5-21-1844237615-1035525444-725345543-1236 <br><br>Делал так. не помогает :-(<br> https://www.opennet.ru/openforum/vsluhforumID12/3857.html#1 Thu, 09 Feb 2006 14:21:40 GMT &gt;Есть сервер FreeBSD 5.4, на нём Samba 3.0.12 и Squid 2.5 stable12. <br>&gt;Контроллер домена на NT4. <br>&gt;Нужно пропускать юзеров в инет только если они в определённой доменной группе. <br>&gt;<br>&gt;<br>&gt;В Squid'е прописал: <br>&gt;auth_param ntlm program /где-то там/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAIN\\Squidgroup <br>&gt;<br>&gt;acl Squidgroup proxy_auth REQUIRED <br>&gt;http_access allow Squidgroup <br>&gt;http_access deny all <br>&gt;<br>&gt;Но пропускает ЛЮБЫХ доменных пользователей! <br>&gt;А нужно только из определённой группы. Подскажите, кто знает. <br><br><br>Указывай SID группы в виде<br>auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=S-1-5-21-1844237615-1035525444-725345543-1236<br><br>