forum.opennet.ru - "squid ntlm доступ по группам" (11)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"squid ntlm доступ по группам"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"squid ntlm доступ по группам"
Сообщение от Atomic (??) on 18-Янв-05, 09:17 (MSK)
Знатоки squid подскажите как можно в squid зделать в acl листах доступ к опеделенным ресурсам по группам в домене nt, единственное что у меня получилось это разрешить доступ одной группе из домена в интернет, как хелпером от samba так и от squid? но вот как зделать так что бы завести несколько ргупп в домене и на основе их в squid прописать куда им ходить,пробовал зделать с помощью Ldap, но потерпел огромное поражение так и не смог рализовать, так и не понял почему, скорее всего не разобрался с фильтрами, подскажите выход из положения, желательно наглядными примерами:)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

squid ntlm доступ по группам, Z0termaNN, 09:33 , 18-Янв-05, (1)
- squid ntlm доступ по группам, Atomic, 10:03 , 18-Янв-05, (2)
  - squid ntlm доступ по группам, Z0termaNN, 10:38 , 18-Янв-05, (3)
    - squid ntlm доступ по группам, Atomic, 13:27 , 18-Янв-05, (4)
      - squid ntlm доступ по группам, Atomic, 13:29 , 18-Янв-05, (5)
        
        squid ntlm доступ по группам, Z0termaNN, 13:49 , 18-Янв-05, (6)
        
        squid ntlm доступ по группам, Atomic, 16:49 , 18-Янв-05, (7)
        
        squid ntlm доступ по группам, Z0termaNN, 19:54 , 18-Янв-05, (8)
        
        squid ntlm доступ по группам, Atomic, 07:53 , 19-Янв-05, (9)
        
        squid ntlm доступ по группам, Z0termaNN, 10:04 , 19-Янв-05, (10)
        
        squid ntlm доступ по группам, Atomic, 17:27 , 19-Янв-05, (11)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "squid ntlm доступ по группам"

Сообщение от Z0termaNN (??) on 18-Янв-05, 09:33  (MSK)

>Знатоки squid  подскажите как можно в squid  зделать в acl
>листах доступ к опеделенным ресурсам по группам в домене nt, единственное
>что у меня получилось это разрешить доступ одной группе из домена
>в  интернет, как хелпером от samba так и от squid?
>но вот как зделать так что бы завести несколько ргупп в
>домене и на основе их в squid  прописать куда им
>ходить,пробовал зделать с помощью  Ldap, но потерпел огромное поражение так
>и не смог рализовать, так и не понял почему, скорее всего
>не разобрался с фильтрами, подскажите выход из положения, желательно наглядными примерами:)
>
Если делать быстро, то достаточно:
1. настроить winbind,
2. запустить его
3. изменить nsswitch.conf соответствующим образом
4. привязать ресурсы к external_acl_type через squid_unix_group.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "squid ntlm доступ по группам"

Сообщение от Atomic (??) on 18-Янв-05, 10:03  (MSK)

В том то и дело у меня настроено на хождение в интернет одной группы из домена, я не знаю как зделать что бы 2 группы из домены могли ходить в инет, она на одни ресурсы а другая на другие, в даный момент у меня squid  работает с хелпером от samba3!!!
В auth param прписанно что группе проверять пользователей на наличие к группе internet, а мне нужно что бы проверялось на наличие пользователя в определенной группе и соответсвенно давались нужный права на посещение интернета!!!
>
>Если делать быстро, то достаточно:
>1. настроить winbind,
>2. запустить его
>3. изменить nsswitch.conf соответствующим образом
>4. привязать ресурсы к external_acl_type через squid_unix_group.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "squid ntlm доступ по группам"

Сообщение от Z0termaNN (??) on 18-Янв-05, 10:38  (MSK)

Так об том и спич, кто тебе мешает заводить несколько
external acl и привязывать их после прохождения авторизации
к урл ?
Вернее авторизуются все пользователи, которые входят в группу,
скажем INET, а доступ к www.porno.ru имеют пользователи из
группы PORNO. Естественно эти пользователи должны быть и в
INET и в PORNO.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "squid ntlm доступ по группам"

Сообщение от Atomic (??) on 18-Янв-05, 13:27  (MSK)

Вот как выглядит мой конфиг, и теперь скажите что мне тут меня, ни чего не пойму!!!
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=INTERBANK+interne
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
#auth_param ntlm use_ntlm_negotiate off
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=INTERBANK+internуе
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
//
//
acl AuthorizedUsers proxy_auth REQUIRED
acl NTLMauth proxy_auth REQUIRED
acl all src 192.7.7.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 20 21               # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1024-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
//
//
http_access allow NTLMauth
http_access allow all AuthorizedUsers
http_access deny all

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "squid ntlm доступ по группам"

Сообщение от Atomic (??) on 18-Янв-05, 13:29  (MSK)

Не большая поправка, группа Internet, просто перепутал раскладку!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "squid ntlm доступ по группам"

Сообщение от Z0termaNN (ok) on 18-Янв-05, 13:49  (MSK)

>Не большая поправка, группа Internet, просто перепутал раскладку!!!

Для начала эти строки дублируют друг друга:
acl AuthorizedUsers proxy_auth REQUIRED
acl NTLMauth proxy_auth REQUIRED
теперь по сути:
......
......
external_acl_type PORNO_USERS concurrency=20 ttl=3600 %LOGIN /usr/lib/squid/squid_unix_group -p
acl PORNO_url url_regex -i "/etc/squid/PORNO_sites.acl"
......
http_access AuthorisezUsers allow
http_access deny all
#
http_access PORNO_USERS PORNO_url allow
http_access PORNO_url deny
ну и дальше примерно в том же духе

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "squid ntlm доступ по группам"

Сообщение от Atomic (??) on 18-Янв-05, 16:49  (MSK)

Я не много не допонял, либо я плохо как то объяснил:)
Ты предлагаеш испоьзовать внешний хелпер от squid "squid_unix_group" и создать acl группу PORNO_USERS к примеру, но где же отношение этой группы к внешней группе в домене, либо эту группу надо заводить на UNIX Машине?

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "squid ntlm доступ по группам"

Сообщение от Z0termaNN (??) on 18-Янв-05, 19:54  (MSK)

нифига заводить не нужно, тебе нужен
winbind + nsswitch

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "squid ntlm доступ по группам"

Сообщение от Atomic (??) on 19-Янв-05, 07:53  (MSK)

winbind + nsswitch установлены и настроены, wbinfo -u wbinfo -g выдают соответственно список пользователей и групп в домене, а тот пример который ты написал, у меня не работает, попробуем провести разбор полетов:)
external_acl_type PORNO_USERS concurrency=20 ttl=3600 %LOGIN /usr/lib/squid/squid_unix_group -p
acl PORNO_url url_regex -i "/etc/squid/PORNO_sites.acl"
PORNO_USERS это группа которая должна быть заведена в домене либо это название acl листа?, PORNO_url это название acl листа со списком url разрешенных для посещения?, "/etc/squid/PORNO_sites.acl это список url котрые можно посещять?
Что я зделал изменил путь к хелперу в моем случае, создал файл для url, создал группу PORNO_USERS в домене, но не работает!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "squid ntlm доступ по группам"

Сообщение от Z0termaNN (??) on 19-Янв-05, 10:04  (MSK)

>winbind + nsswitch установлены и настроены, wbinfo -u wbinfo -g выдают соответственно
>список пользователей и групп в домене, а тот пример который ты
>написал, у меня не работает, попробуем провести разбор полетов:)
>external_acl_type PORNO_USERS concurrency=20 ttl=3600 %LOGIN /usr/lib/squid/squid_unix_group -p
>acl PORNO_url url_regex -i "/etc/squid/PORNO_sites.acl"
>
>PORNO_USERS это группа которая должна быть заведена в домене либо это название
>acl листа?, PORNO_url это название acl листа со списком url разрешенных
>для посещения?, "/etc/squid/PORNO_sites.acl это список url котрые можно посещять?
>Что я зделал изменил путь к хелперу в моем случае, создал файл
>для url, создал группу PORNO_USERS в домене, но не работает!!!
h
ошибочка вышла, забыл добавить
acl PORNO_GROUP external PORNO_USERS group,
здесь 'group' это как раз windows группа в том виде в каком она
присутствует в юниксе, посмотреть ее можно при помощи команды
getent group
соответственно доступ должен быть переписан примерно так:
http_access PORNO_url PORNO_USERS allow
http_access PORNO_url deny

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "squid ntlm доступ по группам"

Сообщение от Atomic (??) on 19-Янв-05, 17:27  (MSK)

Так то лучше:)
Но есть одна маленькая проблемка как freebsd воспользоваться утилитой getent? такой утилитой я пользовался в Linux а во Freebsd ее нет!!!
Но все же, огромное спасибо!!!
Если что еще обращюсь!!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "squid ntlm доступ по группам"
Сообщение от Z0termaNN (??) on 18-Янв-05, 09:33 (MSK)
>Знатоки squid подскажите как можно в squid зделать в acl >листах доступ к опеделенным ресурсам по группам в домене nt, единственное >что у меня получилось это разрешить доступ одной группе из домена >в интернет, как хелпером от samba так и от squid? >но вот как зделать так что бы завести несколько ргупп в >домене и на основе их в squid прописать куда им >ходить,пробовал зделать с помощью Ldap, но потерпел огромное поражение так >и не смог рализовать, так и не понял почему, скорее всего >не разобрался с фильтрами, подскажите выход из положения, желательно наглядными примерами:) > Если делать быстро, то достаточно: 1. настроить winbind, 2. запустить его 3. изменить nsswitch.conf соответствующим образом 4. привязать ресурсы к external_acl_type через squid_unix_group.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "squid ntlm доступ по группам"
	Сообщение от Atomic (??) on 18-Янв-05, 10:03 (MSK)
	В том то и дело у меня настроено на хождение в интернет одной группы из домена, я не знаю как зделать что бы 2 группы из домены могли ходить в инет, она на одни ресурсы а другая на другие, в даный момент у меня squid работает с хелпером от samba3!!! В auth param прписанно что группе проверять пользователей на наличие к группе internet, а мне нужно что бы проверялось на наличие пользователя в определенной группе и соответсвенно давались нужный права на посещение интернета!!! > >Если делать быстро, то достаточно: >1. настроить winbind, >2. запустить его >3. изменить nsswitch.conf соответствующим образом >4. привязать ресурсы к external_acl_type через squid_unix_group.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "squid ntlm доступ по группам"
	Сообщение от Z0termaNN (??) on 18-Янв-05, 10:38 (MSK)
	Так об том и спич, кто тебе мешает заводить несколько external acl и привязывать их после прохождения авторизации к урл ? Вернее авторизуются все пользователи, которые входят в группу, скажем INET, а доступ к www.porno.ru имеют пользователи из группы PORNO. Естественно эти пользователи должны быть и в INET и в PORNO.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "squid ntlm доступ по группам"
	Сообщение от Atomic (??) on 18-Янв-05, 13:27 (MSK)
	Вот как выглядит мой конфиг, и теперь скажите что мне тут меня, ни чего не пойму!!! auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=INTERBANK+interne auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes #auth_param ntlm use_ntlm_negotiate off auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=INTERBANK+internуе auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off // // acl AuthorizedUsers proxy_auth REQUIRED acl NTLMauth proxy_auth REQUIRED acl all src 192.7.7.0/255.255.255.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 20 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1024-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT // // http_access allow NTLMauth http_access allow all AuthorizedUsers http_access deny all
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "squid ntlm доступ по группам"
	Сообщение от Atomic (??) on 18-Янв-05, 13:29 (MSK)
	Не большая поправка, группа Internet, просто перепутал раскладку!!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "squid ntlm доступ по группам"
	Сообщение от Z0termaNN (ok) on 18-Янв-05, 13:49 (MSK)
	>Не большая поправка, группа Internet, просто перепутал раскладку!!! Для начала эти строки дублируют друг друга: acl AuthorizedUsers proxy_auth REQUIRED acl NTLMauth proxy_auth REQUIRED теперь по сути: ...... ...... external_acl_type PORNO_USERS concurrency=20 ttl=3600 %LOGIN /usr/lib/squid/squid_unix_group -p acl PORNO_url url_regex -i "/etc/squid/PORNO_sites.acl" ...... http_access AuthorisezUsers allow http_access deny all # http_access PORNO_USERS PORNO_url allow http_access PORNO_url deny ну и дальше примерно в том же духе
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "squid ntlm доступ по группам"
	Сообщение от Atomic (??) on 18-Янв-05, 16:49 (MSK)
	Я не много не допонял, либо я плохо как то объяснил:) Ты предлагаеш испоьзовать внешний хелпер от squid "squid_unix_group" и создать acl группу PORNO_USERS к примеру, но где же отношение этой группы к внешней группе в домене, либо эту группу надо заводить на UNIX Машине?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "squid ntlm доступ по группам"
	Сообщение от Z0termaNN (??) on 18-Янв-05, 19:54 (MSK)
	нифига заводить не нужно, тебе нужен winbind + nsswitch
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "squid ntlm доступ по группам"
	Сообщение от Atomic (??) on 19-Янв-05, 07:53 (MSK)
	winbind + nsswitch установлены и настроены, wbinfo -u wbinfo -g выдают соответственно список пользователей и групп в домене, а тот пример который ты написал, у меня не работает, попробуем провести разбор полетов:) external_acl_type PORNO_USERS concurrency=20 ttl=3600 %LOGIN /usr/lib/squid/squid_unix_group -p acl PORNO_url url_regex -i "/etc/squid/PORNO_sites.acl" PORNO_USERS это группа которая должна быть заведена в домене либо это название acl листа?, PORNO_url это название acl листа со списком url разрешенных для посещения?, "/etc/squid/PORNO_sites.acl это список url котрые можно посещять? Что я зделал изменил путь к хелперу в моем случае, создал файл для url, создал группу PORNO_USERS в домене, но не работает!!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "squid ntlm доступ по группам"
	Сообщение от Z0termaNN (??) on 19-Янв-05, 10:04 (MSK)
	>winbind + nsswitch установлены и настроены, wbinfo -u wbinfo -g выдают соответственно >список пользователей и групп в домене, а тот пример который ты >написал, у меня не работает, попробуем провести разбор полетов:) >external_acl_type PORNO_USERS concurrency=20 ttl=3600 %LOGIN /usr/lib/squid/squid_unix_group -p >acl PORNO_url url_regex -i "/etc/squid/PORNO_sites.acl" > >PORNO_USERS это группа которая должна быть заведена в домене либо это название >acl листа?, PORNO_url это название acl листа со списком url разрешенных >для посещения?, "/etc/squid/PORNO_sites.acl это список url котрые можно посещять? >Что я зделал изменил путь к хелперу в моем случае, создал файл >для url, создал группу PORNO_USERS в домене, но не работает!!! h ошибочка вышла, забыл добавить acl PORNO_GROUP external PORNO_USERS group, здесь 'group' это как раз windows группа в том виде в каком она присутствует в юниксе, посмотреть ее можно при помощи команды getent group соответственно доступ должен быть переписан примерно так: http_access PORNO_url PORNO_USERS allow http_access PORNO_url deny
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "squid ntlm доступ по группам"
	Сообщение от Atomic (??) on 19-Янв-05, 17:27 (MSK)
	Так то лучше:) Но есть одна маленькая проблемка как freebsd воспользоваться утилитой getent? такой утилитой я пользовался в Linux а во Freebsd ее нет!!! Но все же, огромное спасибо!!! Если что еще обращюсь!!!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх