Стоит сервачек в качестве шлюза, крутился на нем Squid, пускающий всех в инет (без авторизации). Т.к. домен конторы построен на AD, то решил замутить доступ через Squid только авторизованным через AD юзерам. Прочитал статью Лиса http://www.lissyara.su/?id=1375, сделал, работает. Но есть одно НО... Раньше без авторизации пользователи спокойно коннектились QIP'ом через Squid, а сейчас не получается - уже перебрал все мыслимые и немыслимые комбинации галочек, имен юзеров и паролей в настройках QIP! Че делать?
Код: Выделить всё
root@/usr/local/etc/squid/acl> uname -a
FreeBSD bih-gateway.bihouse.ru 7.0-RELEASE FreeBSD 7.0-RELEASE #0: Wed Mar 26 11:17:15 MSK 2008 vitaliy@bih-gateway.bihouse.ru:/usr/obj/usr/src/sys/MYKERNEL.20080326 i386
root@/usr/local/etc/squid/acl>
Код: Выделить всё
# OPTIONS FOR AUTHENTICATION
# -----------------------------------------------------------------------------
# Нативная авторизация (для IE, Firefox, QIP)
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
# Число процессов для авторизации (сколько одновременно юзеров полезет в инет)
auth_param ntlm children 20
# Basic авторизация - для тех, кто не может нативно (Opera, ICQ, например)
# (ввод логина и пароля)
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
# Число процессов для basic аворизации - значительно меньше, чем для нативной
auth_param basic children 3
# Заголовок окна выводимый при запросе авторизации
auth_param basic realm Squid proxy-caching web server
# Время жизни авторизации - сколько кэшировать данные (для basic)
auth_param basic credentialsttl 2 hours
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
### Описание ACL
# Внешняя ACL для разруливания по группам
external_acl_type nt_group ttl=120 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
# Пользователи, которым разрешено все
acl Squid_priv external nt_group squid_priv
# Пользователи, имеющие ограничения
acl Squid_users external nt_group squid_users
# Пользователи, имеющие ограничения, но имеющие аську
acl Squid_icq external nt_group squid_icq
# Пользователи, которым разрешен метод CONNECT
acl Squid_connect external nt_group squid_connect
# Пользователи, которые прошли авторизацию на проксе
acl Bihouse proxy_auth REQUIRED
# Список запрещенных пользователей
acl Squid_deny external nt_group squid_deny
# Время доступа в интернет
acl Jobtime time MTWHF 09:00-19:59
# Описываем порты на которые разрешено лазить
acl SSL_ports port 443
acl SSL_ports port 465
acl SSL_ports port 563
acl SSL_ports port 995
acl Safe_ports port 21
acl Safe_ports port 80
acl Safe_ports port 443
acl ICQ_ports port 5190
# Описываем метод CONNECT
acl CONNECT method CONNECT
# Все сети, все IP
acl All src 0.0.0.0/0.0.0.0
# Локалхост
acl Localhost src 127.0.0.1/255.255.255.255
# Запрещённые выражения в URL
acl Bad_url url_regex "/usr/local/etc/squid/acl/bad_url.txt"
# Запрещенные домены
acl Bad_domains dstdomain "/usr/local/etc/squid/acl/bad_domains.txt"
# Запрещенные подсети (ICQ, МэйлАгент и т.д.)
acl Bad_nets dst "/usr/local/etc/squid/acl/bad_nets.txt"
### Собственно, описание самого доступа
# Разрешаем метод CONNECT всем для аськи
http_access allow CONNECT All Jobtime
# Запрещаем доступ неавторизованным
http_access deny !Bihouse
# Разрешаем доступ ко всему группе 'Squid_priv'
http_access allow Squid_priv All
# Запрещаем плохие url
http_access deny Bad_url
# Разрешаем аську, кому надо только в рабочее время
#http_access allow CONNECT Squid_icq ICQ_ports Jobtime
# Отказ доступа к запрещенным доменам
http_access deny Bad_domains
# Отказ доступа к запрещенным подсетям
http_access deny Bad_nets
# Разрешаем доступ обычным пользователям в рабочее время
http_access allow Squid_users Safe_ports Jobtime
# Запрещаем все, что не попало ни под одно правило
http_access deny All
Если кип настраиваю так , то он вываливается с ошибкой "Connect with proxy failed", а в логах сквида пишет следующее:
Код: Выделить всё
1208936828.755 59925 192.168.0.1 TCP_MISS/503 0 CONNECT login.icq.com:5190 - DIRECT/64.12.161.185 -
Код: Выделить всё
1208937040.097 59526 192.168.0.1 TCP_MISS/503 0 CONNECT login.icq.com:5190 - DIRECT/64.12.161.185 -
Код: Выделить всё
1208937187.352 59574 192.168.0.1 TCP_MISS/503 0 CONNECT login.icq.com:5190 - DIRECT/64.12.161.185 -