группы в сквиде

[f0s]

хочу разграничить доступ по группам

делаю так:

Код: Выделить всё

external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl


acl     spb             external nt_group spb
acl     admins          external nt_group admins

с нижней конструкцией не работает.. ну то есть в инет не пускает, выдает ERR_ACCESS_DENIED

Код: Выделить всё

http_access    allow   our_network spb DomainUsers
http_access     deny    !Safe_ports
http_access     deny    CONNECT !SSL_ports
deny_info       ERR_ACCESS_DENIED       all
http_access     deny    all

хотя:

Код: Выделить всё

[f0s@router] /home/f0s/> /usr/local/libexec/squid/wbinfo_group.pl
f0s spb
OK
f0s msk
ERR
f0s it
OK

и второй вопрос по delay_pools:
при таком конфиге, ACL admins (что представляет из себя группу admins), опять таки режется инет, как и ACL our_network, хотя должен группе админс давать нелимитированный по скорости инет

Код: Выделить всё

delay_pools 2
delay_class 1 1 # admin
delay_class 2 2 # all
delay_access 1 allow admins
delay_access 1 deny all
delay_access 2 allow our_network
delay_access 2 deny all
delay_parameters 1 -1/-1
delay_parameters 2 80000/80000 9000/16000

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Morty]

может он не видет группу ? и футболит
посм на фре

Код: Выделить всё

id adminuser_name_from_win_AD

должно писать в какие группы входит...
у мну что-то подобное было , в виндошном DC ставил -> Член групп -> задать основную(ставиш ту что нада для инета)
потом на фре опять через id смотриш видит ли оно нужную тебе группу.

Но нащет задавания основной группы в АД - сам не уверен насколько правильно поступаю

[f0s]

может он не видет группу ? и футболит
посм на фре

Код: Выделить всё

id adminuser_name_from_win_AD

должно писать в какие группы входит...
у мну что-то подобное было , в виндошном DC ставил -> Член групп -> задать основную(ставиш ту что нада для инета)
потом на фре опять через id смотриш видит ли оно нужную тебе группу.

Но нащет задавания основной группы в АД - сам не уверен насколько правильно поступаю

да нет, нормально все с этим:

Код: Выделить всё

[f0s@router] /home/f0s/> id admin
uid=10003(admin) gid=10004(admins) groups=10004(admins)

юзер админ входит в группу admins, которую я в acl прописываю

[Dron]

acl spb external nt_group spb
acl admins external nt_group admins

и

Код: Выделить всё

[f0s@router] /home/f0s/> id admin
uid=10003(admin) gid=10004(admins) groups=10004(admins)

Ну не вяжется...
там группа с винды, а тут локальная инфа (если не ошибаюсь)...
первое проверяется скриптом

Код: Выделить всё

/usr/local/libexec/squid/wbinfo_group.pl

А вот в системе есть чем смотреть группы с винды?

по поводу delay_pool для админов...
Я слелал так, что у админов просто нет доступа ни к одному из delay_pool - никаких ограничений...

А вот насчет

выдает ERR_ACCESS_DENIED

даж не знаю... в логи чего-нить валит?

[Morty]

А вот в системе есть чем смотреть группы с винды?

id должно смотреть
для того что б узнать куда юзер входит

Код: Выделить всё

id user
id WINDUZADUMEN\\Admin

и

Код: Выделить всё

wbinfo -g

какие вообще есть группы

[f0s]

acl spb external nt_group spb
acl admins external nt_group admins

и

Код: Выделить всё

[f0s@router] /home/f0s/> id admin
uid=10003(admin) gid=10004(admins) groups=10004(admins)

Ну не вяжется...
там группа с винды, а тут локальная инфа (если не ошибаюсь)...
первое проверяется скриптом

Код: Выделить всё

/usr/local/libexec/squid/wbinfo_group.pl

А вот в системе есть чем смотреть группы с винды?

вообще-то у меня нет винды. домен самбе, и группы с PDC Самбовского. и id показывает в том числе и доменные группы.

по поводу delay_pool для админов...
Я слелал так, что у админов просто нет доступа ни к одному из delay_pool - никаких ограничений...

я так не хочу. мне надо админов тоже ограничить

А вот насчет

выдает ERR_ACCESS_DENIED

даж не знаю... в логи чего-нить валит?

да он просто не принимает что юзер в группу эту входит

[Dron]

Сквид и самба у тебя на одной машинке?
А чего не сделаешь авторизацию через LDAP, если домен на самбе с LDAP поднимал?

id должно смотреть для того что б узнать куда юзер входит

Да ладно... чтобы id видел чего-то, для LDAP нужен - nss_ldap, для просмотра типа с винды - winbind и это все хозяйсто должно быть прописано в nsswitch.conf
A если ты смотришь скриптиком который прописан только в squid, как оно в системе покажется?

[f0s]

Сквид и самба у тебя на одной машинке?
А чего не сделаешь авторизацию через LDAP, если домен на самбе с LDAP поднимал?

самба и сквид на разных.. а в чем приимущество в ldap, если по winvind должно работать?

id должно смотреть для того что б узнать куда юзер входит

Да ладно... чтобы id видел чего-то, для LDAP нужен - nss_ldap, для просмотра типа с винды - winbind и это все хозяйсто должно быть прописано в nsswitch.conf

ну, это естесвенно все есть