группы в сквиде

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

группы в сквиде

Непрочитанное сообщение f0s » 2007-12-18 12:51:21

хочу разграничить доступ по группам

делаю так:

Код: Выделить всё

external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl


acl     spb             external nt_group spb
acl     admins          external nt_group admins
с нижней конструкцией не работает.. ну то есть в инет не пускает, выдает ERR_ACCESS_DENIED

Код: Выделить всё

http_access    allow   our_network spb DomainUsers
http_access     deny    !Safe_ports
http_access     deny    CONNECT !SSL_ports
deny_info       ERR_ACCESS_DENIED       all
http_access     deny    all
хотя:

Код: Выделить всё

[f0s@router] /home/f0s/> /usr/local/libexec/squid/wbinfo_group.pl
f0s spb
OK
f0s msk
ERR
f0s it
OK

и второй вопрос по delay_pools:
при таком конфиге, ACL admins (что представляет из себя группу admins), опять таки режется инет, как и ACL our_network, хотя должен группе админс давать нелимитированный по скорости инет

Код: Выделить всё

delay_pools 2
delay_class 1 1 # admin
delay_class 2 2 # all
delay_access 1 allow admins
delay_access 1 deny all
delay_access 2 allow our_network
delay_access 2 deny all
delay_parameters 1 -1/-1
delay_parameters 2 80000/80000 9000/16000
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: группы в сквиде

Непрочитанное сообщение Morty » 2007-12-18 18:35:00

может он не видет группу ? и футболит
посм на фре

Код: Выделить всё

id adminuser_name_from_win_AD
должно писать в какие группы входит...
у мну что-то подобное было , в виндошном DC ставил -> Член групп -> задать основную(ставиш ту что нада для инета)
потом на фре опять через id смотриш видит ли оно нужную тебе группу.

Но нащет задавания основной группы в АД - сам не уверен насколько правильно поступаю :?

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: группы в сквиде

Непрочитанное сообщение f0s » 2007-12-19 13:37:48

Morty писал(а):может он не видет группу ? и футболит
посм на фре

Код: Выделить всё

id adminuser_name_from_win_AD
должно писать в какие группы входит...
у мну что-то подобное было , в виндошном DC ставил -> Член групп -> задать основную(ставиш ту что нада для инета)
потом на фре опять через id смотриш видит ли оно нужную тебе группу.

Но нащет задавания основной группы в АД - сам не уверен насколько правильно поступаю :?

да нет, нормально все с этим:

Код: Выделить всё

[f0s@router] /home/f0s/> id admin
uid=10003(admin) gid=10004(admins) groups=10004(admins)
юзер админ входит в группу admins, которую я в acl прописываю
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
Dron
ст. сержант
Сообщения: 373
Зарегистрирован: 2007-08-15 13:36:28
Откуда: Днепропетровск
Контактная информация:

Re: группы в сквиде

Непрочитанное сообщение Dron » 2007-12-21 23:44:43

acl spb external nt_group spb
acl admins external nt_group admins
и

Код: Выделить всё

[f0s@router] /home/f0s/> id admin
uid=10003(admin) gid=10004(admins) groups=10004(admins)
Ну не вяжется...
там группа с винды, а тут локальная инфа (если не ошибаюсь)...
первое проверяется скриптом

Код: Выделить всё

/usr/local/libexec/squid/wbinfo_group.pl
А вот в системе есть чем смотреть группы с винды? :)

по поводу delay_pool для админов...
Я слелал так, что у админов просто нет доступа ни к одному из delay_pool - никаких ограничений...

А вот насчет
выдает ERR_ACCESS_DENIED
даж не знаю... в логи чего-нить валит?
Та Да...

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: группы в сквиде

Непрочитанное сообщение Morty » 2007-12-22 0:32:23

А вот в системе есть чем смотреть группы с винды?
id должно смотреть
для того что б узнать куда юзер входит

Код: Выделить всё

id user
id WINDUZADUMEN\\Admin
и

Код: Выделить всё

wbinfo -g
какие вообще есть группы

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: группы в сквиде

Непрочитанное сообщение f0s » 2007-12-24 11:10:03

_Dron_ писал(а):
acl spb external nt_group spb
acl admins external nt_group admins
и

Код: Выделить всё

[f0s@router] /home/f0s/> id admin
uid=10003(admin) gid=10004(admins) groups=10004(admins)
Ну не вяжется...
там группа с винды, а тут локальная инфа (если не ошибаюсь)...
первое проверяется скриптом

Код: Выделить всё

/usr/local/libexec/squid/wbinfo_group.pl
А вот в системе есть чем смотреть группы с винды? :)
вообще-то у меня нет винды. домен самбе, и группы с PDC Самбовского. и id показывает в том числе и доменные группы.

по поводу delay_pool для админов...
Я слелал так, что у админов просто нет доступа ни к одному из delay_pool - никаких ограничений...
я так не хочу. мне надо админов тоже ограничить
А вот насчет
выдает ERR_ACCESS_DENIED
даж не знаю... в логи чего-нить валит?
да он просто не принимает что юзер в группу эту входит
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
Dron
ст. сержант
Сообщения: 373
Зарегистрирован: 2007-08-15 13:36:28
Откуда: Днепропетровск
Контактная информация:

Re: группы в сквиде

Непрочитанное сообщение Dron » 2007-12-24 12:19:10

Сквид и самба у тебя на одной машинке?
А чего не сделаешь авторизацию через LDAP, если домен на самбе с LDAP поднимал?
Morty писал(а):id должно смотреть для того что б узнать куда юзер входит
Да ладно... чтобы id видел чего-то, для LDAP нужен - nss_ldap, для просмотра типа с винды - winbind и это все хозяйсто должно быть прописано в nsswitch.conf
A если ты смотришь скриптиком который прописан только в squid, как оно в системе покажется? ;)
Та Да...

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: группы в сквиде

Непрочитанное сообщение f0s » 2007-12-24 16:20:21

_Dron_ писал(а):Сквид и самба у тебя на одной машинке?
А чего не сделаешь авторизацию через LDAP, если домен на самбе с LDAP поднимал?
самба и сквид на разных.. а в чем приимущество в ldap, если по winvind должно работать?

Morty писал(а):id должно смотреть для того что б узнать куда юзер входит
Да ладно... чтобы id видел чего-то, для LDAP нужен - nss_ldap, для просмотра типа с винды - winbind и это все хозяйсто должно быть прописано в nsswitch.conf
ну, это естесвенно все есть :)
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]