Конфиг использовал твой 1 в 1 из статьи.lissyara писал(а):смотри конфиг.
лбо всем всё запретил, либо юзер не в группе
Код: Выделить всё
acl inet_users external nt_group inet_users
Конфиг использовал твой 1 в 1 из статьи.lissyara писал(а):смотри конфиг.
лбо всем всё запретил, либо юзер не в группе
Код: Выделить всё
acl inet_users external nt_group inet_users
Понятно, но вот только смотрю всё-таки в сторону ipnat, так какlissyara писал(а):нет.
inet_users - это имя группы.
Код: Выделить всё
sockstat | grep perl
Код: Выделить всё
squid perl5.8.8 29493 0 stream -> ??
squid perl5.8.8 29493 1 stream -> ??
squid perl5.8.8 29492 0 stream -> ??
squid perl5.8.8 29492 1 stream -> ??
squid perl5.8.8 29491 0 stream -> ??
squid perl5.8.8 29491 1 stream -> ??
squid perl5.8.8 29490 0 stream -> ??
squid perl5.8.8 29490 1 stream -> ??
squid perl5.8.8 29489 0 stream -> ??
squid perl5.8.8 29489 1 stream -> ??
Попробую на другой машине с обычным NAT'ом поднять сквиду.lissyara писал(а):понятия не имею.
У меня пашет
И ещё у человек нескольких с форума кто по статье делал.
=====
метод CTRL+С && CTRL+V тут не проходит - надо думать.
А подумать?f0s писал(а):а я вот так и не понял как сделать так, чтобы юзеров из определенной группы нельзя им было в инет ходить.. к примеру все юзеры в ладпе, все ходят в инет по ntlm.. а вот неокторым бюзерам из группы msk в инет нельзя.. неужели никто не знает как осуществить сие?
gmn писал(а):А подумать?f0s писал(а):а я вот так и не понял как сделать так, чтобы юзеров из определенной группы нельзя им было в инет ходить.. к примеру все юзеры в ладпе, все ходят в инет по ntlm.. а вот неокторым бюзерам из группы msk в инет нельзя.. неужели никто не знает как осуществить сие?
Сочетание нескольких acl ..
Код: Выделить всё
# здесь авторизация доменных. Все пользователи в openldap
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
# а это если вдруг доменная не сработала:
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 3
auth_param basic realm router.artpaint
auth_param basic credentialsttl 2 hour
auth_param basic casesensitive off
# это для того, чтобы можно было группы из openldap смотреть.
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
# работает оно корректно кстати (правильно показывает что юзер входит в группу msk, но не входит в buh), ниже вывод:
# [f0s@router] /home/f0s/> /usr/local/libexec/squid/wbinfo_group.pl
# f0s msk
# OK
# f0s buh
# ERR
#
# идем далее
#вот acl-ки:
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.0/8
acl sqstat src 192.168.10.8
acl our_network src 192.168.10.0/24
acl manager proto cache_object
acl admins external nt_group admins
acl msk external nt_group msk
acl DomainUsers proxy_auth REQUIRED
acl SSL_ports port 443
acl SSL_ports port 5190
acl Safe_ports port 80 # http
acl Safe_ports port 8080 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 22 # ssh
acl Safe_ports port 5190 # icq
acl Safe_ports port 2082 # ARBATEK
acl Safe_ports port 24554 # fido
acl CONNECT method CONNECT
http_access allow manager sqstat
http_access deny manager
http_access deny msk
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow DomainUsers our_network
http_access deny DomainUsers
deny_info ERR_ACCESS_DENIED all
http_access deny all
Код: Выделить всё
http_access deny msk
Код: Выделить всё
http_access allow DomainUsers our_network
Нет, не верно.Pangolin писал(а):наверное проблема состоит в том что правилостоит до правилаКод: Выделить всё
http_access deny msk
сначала система проверяет принадлежит ли пользователь к группе msk а потом принадлежит ли он группе DomainUsers. а так как любой кто смог авторизоваться в домене уже является DomainUsers'ом то иго и пропускаетКод: Выделить всё
http_access allow DomainUsers our_network
==================================================================
Добавлено.
Извините чушь сморозил, не внимательно прочитал конфиг
gmn писал(а):Подозреваю, что для wbinfo логин передается с доменом в виде "domain\login", и тот выдает ERR.
Но пользователь то авторизирован и его пускает по след. правилу.
Для ldap-group я добавлял опцию, чтобы домен "выкусывать":
squid_ldap_group -S
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.plf0s писал(а):это где такое?gmn писал(а):Подозреваю, что для wbinfo логин передается с доменом в виде "domain\login", и тот выдает ERR.
Но пользователь то авторизирован и его пускает по след. правилу.
Для ldap-group я добавлял опцию, чтобы домен "выкусывать":
squid_ldap_group -S
gmn писал(а):external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.plf0s писал(а):это где такое?gmn писал(а):Подозреваю, что для wbinfo логин передается с доменом в виде "domain\login", и тот выдает ERR.
Но пользователь то авторизирован и его пускает по след. правилу.
Для ldap-group я добавлял опцию, чтобы домен "выкусывать":
squid_ldap_group -S
%LOGIN - в виде login или domain\login ?
И wbinfo и так и так правильный ответ дает?
Код: Выделить всё
[f0s@router] /home/f0s/> /usr/local/libexec/squid/wbinfo_group.pl
f0s msk
OK
f0s buh
ERR
Код: Выделить всё
[f0s@router] /home/f0s/> /usr/local/libexec/squid/wbinfo_group.pl
ARTPAINT\f0s msk
Could not get groups for user ARTPAINT\f0s
ERR
ARTPAINT\f0s it
Could not get groups for user ARTPAINT\f0s
ERR
Наверняка добавляется.f0s писал(а):то есть возможно добавляется домен? И что в этом случае делать?
Что никто не использует ограничения входа пользовтелей только на "свои" компы ?freeman писал(а):Интересный вопрос - не пускает пользователя в интернет, которому разрешено через ntlm туда попадать.
Решение - в настройках учётной записи убрано огранричение "разрешён вход толькол на такие то компьютеры"
Другие решения есть ? ДОбавлять вход на комп где стоит SQuid вроде не помогает.
У меня не используется.freeman писал(а):Что никто не использует ограничения входа пользовтелей только на "свои" компы ?freeman писал(а):Интересный вопрос - не пускает пользователя в интернет, которому разрешено через ntlm туда попадать.
Решение - в настройках учётной записи убрано огранричение "разрешён вход толькол на такие то компьютеры"
Другие решения есть ? ДОбавлять вход на комп где стоит SQuid вроде не помогает.
Никак.strelok писал(а):Добрый вечер.
Подскажите пожалуйста как настроить The Bat! чтобы забирал почту через squid?
Уже мучаюсь долгое время, пробовал разрешать порты в squid, но толку никакого.
Фаерволом 110 и 25 -е порты открыты, то есть без сквида все работает, а вот как через squid можно коннектится?
Спасибо.
Я понимаю, но как сделать чтобы почта забиралась минуя сквид?Никак.
SQUID - http-прокси.
"без сквида все работает" - и хорошо.strelok писал(а):Я понимаю, но как сделать чтобы почта забиралась минуя сквид?Никак.
SQUID - http-прокси.
В ipfw у меня 110 и 25 порты разрешены, без сквида все работает.
Получается в конфиге сквида нужно что-то разрешить?
Я пробовал уже прописывать там эти порты, но результат нулевой.
Подскажите, как это можно решить?