угумс. с этим разобрался, спасибо. Но вот давно интересовал такой вопрос:
есть acl DomainUsers, это все авторизованные в домене пользователи. У меня стоит acl что пускать в инет только тех, кто имеет адрес our_network и те, кто принадлежит DomainUsers. Но вот в домене (который на самбе3.0.25, все хранится в лдап), есть группы, две из который msk и spb. Мне нужно, чтобы те, кто входил в группу msk, не смог лазить в инете. Соответсвенно конфиг ниже, как можно увидеть там стоит
однако тестим. Берем юзера:
Код: Выделить всё
[f0s@router] /usr/local/etc/squid/> id f0s
uid=1001(f0s) gid=0(wheel) groups=0(wheel), 17905(it), 61659(msk)
как видим, он состоит в группе msk. Заъодим бразуером в инет - вуаля.. все равно пускает.
Если поставить строчку
после:
то под юзером f0s начинает вылезать окошко, типа "авторизуйтесь"! Не понимаю, почему просто не срабатывает это:
а то, ввожу в этом окне вручную свое имя и пароль для f0s, и опять это окошко с авторизацией появялется.. и так до посинения
пока не введешь чужой логин, кто не входит в группу msk
Код: Выделить всё
[f0s@router] /usr/local/etc/squid/> cat squid.conf
http_port 8787
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mem 256 MB
maximum_object_size 16184 KB
maximum_object_size_in_memory 1024 KB
cache_dir ufs /usr/local/squid/cache 15000 64 512
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log none
pid_filename /var/log/squid/squid.pid
debug_options ALL,1
ftp_user abuse@artpaint.spb.ru
hosts_file /etc/hosts
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 3
auth_param basic realm router.artpaint
auth_param basic credentialsttl 2 hour
auth_param basic casesensitive off
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
redirect_program /usr/local/rejik/redirector
redirect_children 15
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.0/8
acl sqstat src 192.168.10.8
acl our_network src 192.168.10.0/24
acl manager proto cache_object
acl admins external nt_group admins
acl spb external nt_group spb
acl msk external nt_group msk
acl DomainUsers proxy_auth REQUIRED
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 22 # ssh
acl Safe_ports port 5190 # icq
acl Safe_ports port 9091 # nod32-временно
acl Safe_ports port 24554 # fido
acl CONNECT method CONNECT
http_access allow manager sqstat
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny msk
http_access allow DomainUsers our_network
http_access deny DomainUsers
deny_info ERR_ACCESS_DENIED all
http_access deny all
http_reply_access allow all
tcp_outgoing_address 192.168.10.7
cache_mgr admin@artpaint
cache_effective_user squid
cache_effective_group squid
icap_enable off
icap_preview_enable off
icap_send_client_ip off
error_directory /usr/local/etc/squid/errors/Russian-1251
delay_pools 2
delay_class 1 1 # admin
delay_class 2 2 # all
delay_access 1 allow admins
delay_access 1 deny all
delay_access 2 allow our_network
delay_access 2 deny all
delay_parameters 1 16000/32000
delay_parameters 2 80000/80000 9000/16000
coredump_dir /usr/local/squid/cache
named, named, what is my TTL value?..
[FidoNet 2:550/2 && 2:5030/4441]
