авторизация по IP ()squid+sams

[mediamag]

Я так понял это именно тот метод когда я пускаю только определенных юзеров под определенными айпи7 Тогда не подскажет ли кто нить где можно поподробнее почитать про этот метод авторизации?? Я пробовал делать по статье с авторизацией NCSA...но все же не могу найти где и как правильно изменить авторизацию.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vintovkin]

окуда вы юзеров брать хотите?
в сквиде есть масса способов авторизазии.

[mediamag]

мне все ранво как брать..мне просо нада переключить в системе самс сквид авторизацию с NCSA на IP

[tynix]

Переключение авторизации производится в веб-интерфейсе, где точно- не скажу, т.к. не помню уже. либо в корне САМСа, либо в разделе настроек.
____________________________________________________________________________________________________________________
Вспомнил САМС-Administration, жми кнопку настроек, и выбирай авторизацию
И сюда загляни по пути, полезно:
http://sams.perm.ru/demo/index.html

[mediamag]

переключил...не работает...завел юзера с логином пасом и айпи адресом...не пускает в инет...подозреваю что нада настраивать в squid.conf....

[tynix]

Ух... Удалил я самс давненько уже
А вы сквид перезапускали после смены авторизации? Мож самсдемона надо рестартануть? Или вообще сервак?
Посмотрите squid.conf на предмет basic-авторизации.
В squid.conf поищите строчки типа "sams_куча_символов", это от самса, попробуйте с ними поиграться, и в директории со squid.conf должны лежать файлики с подобными именами, предлагаю скопировать их в отдельную директорию вместе с squid.conf и издеваться над оригиналами.

[mediamag]

какие конкретно изменения нужно сделать в squid.conf для запуска ip авторизации? сервак ресал..файлики с кучей символов присутствуют

[mediamag]

В веб интерфейсе настройки для авторизации по айпи нашел и изменил...вот мой squid.conf

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/ncsa.sams

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

http_port 8080

icp_port 0

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

cache_mem 128 MB

maximum_object_size 8092 KB

maximum_object_size_in_memory 512 KB

error_directory /usr/local/etc/squid/errors/Russian-1251

cache_dir ufs /usr/local/squid/cache 2048 64 256

access_log /usr/local/squid/logs/access.log squid

cache_log /usr/local/squid/logs/cache.log

cache_store_log /usr/local/squid/logs/store.log

cache_mgr h-a-k-e-r@inbox.ru

visible_hostname inet.pie.local

tcp_outgoing_address xx.xx.xx.xx


refresh_pattern ^ftp:           1440    20%     10080

refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern .               0       20%     4320

url_rewrite_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf

url_rewrite_children 20

acl     all     src     0.0.0.0/0.0.0.0

acl     localhost       src     127.0.0.0/8

acl     our_networks    src     192.168.0.0/24

http_access     allow   our_networks

http_access     allow   localhost

http_access     deny    all

http_port 127.0.0.1:8080

coredump_dir /usr/local/squid/cache

pid_filename /usr/local/squid/logs/squid.pid

что еще нужно добавить чтобы была авторизация по айпи и самс считал трафик? юзеров я уже завел.

[Гость]

в конфиге сквида еще должны быть тэги(есть в стандартном конфиге) они как бы метки для самса куда вставлять его данные(подробнее на саите самса где то)

[mediamag]

спасибо

[Kot_Off]

День добрый! Похожая проблема. Чем все решилось? Укажите на путь истинный

[mediamag]

возьми дефайлтный конфиг сквида там есть теги перед каждым сектором натсроек типа

Код: Выделить всё

# TAG http_access

самс ориентируется по ним и вбивает нужную инфу в нужный раздел конфига, если их нет самс не понимает шо ты от него хош))

[Hunta]

Помогите пожалуйста, SAMS не отключает пользователей.
Стоит авторизация по IP, шаблон по IP, трафик пользователя считает прекрасно,
но после достижения лимита в вэбморде самса пользовтель отключен, в каталоге squid-а создается файлик:
disabled_ip.sams, в squid.conf:

Код: Выделить всё

  ...тип авторизации я закомментировал всю, не знаю правильно иль нет, но подумалось, что при авторизации по IP
    оно там не надо  :crazy: 
    #  TAG: acl
    acl _sams_4ae04a8f8811a src "/usr/local/etc/squid/4ae04a8f8811a.sams" 
    acl _sams_4ae04a8f8811a_time time MTWHF 08:55-18:10
    acl _sams_4ae835128a6ce src "/usr/local/etc/squid/4ae835128a6ce.sams" 
    acl _sams_4ae835128a6ce_time time MTWHFAS 08:00-18:00
    acl _sams_4ae833c985820 src "/usr/local/etc/squid/4ae833c985820.sams" 
    acl _sams_4ae833c985820_time time MTWHFAS 08:00-22:00
    acl _sams_disabled_ip src "/usr/local/etc/squid/disabled_ip.sams"
    acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams" 
    ...
    #  TAG: http_access
    http_access allow _sams_4ae04a8f8811a  _sams_4ae04a8f8811a_time  
    http_access allow _sams_4ae835128a6ce  _sams_4ae835128a6ce_time  
    http_access allow _sams_4ae833c985820  _sams_4ae833c985820_time  
    http_access deny _sams_disabled_ip !_sams_local_ip  
    ...

Подскажите пожалуйста, заранее спасибо

[Mikola]

Если у вас создается файл с отключенными ИП адресами значит самс работает.
Возможно сквид по умолчаннию пропускает всех
Самая последня строка в секции доступа http:
# TAG: http_access.
должна быть:
http_access deny all

Я вообще сделал так сначала что сквид никого не пропускал, а потом добавлял аккаунты в самс и проверял чтобы выпускал.

[Hunta]

Кажись начало проясняься, хорошо, что сервак тестовый и для вот таких опытов.
Прокся по моему у меня получилась прозрачная, даже не заводя пользователей в сквиде, меня все равно пускает в инет, я так понимаю надо пакеты протокола http заворачивать в ipfw на squid, на порт 3128???? Вот сейчас разбираюсь с ipfw

[FoxDW]

авторизация в транспарент режиме не работает

[Hunta]

Это где в сквиде????
Я там тип авторизации всю закомментировал, вот думаю правильно иль нет?

[Hunta]

Вроде разобрался, у меня в сквиде был по любому разрешен доступ по http и много ещё по чему, думаю это оно

Код: Выделить всё

...
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

#  TAG: http_access

# Deny requests to unknown ports
http_access deny !Safe_ports

# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
...

[Гость]

Это секция acl - листов контроля доступа.
по дефолту это все закрыто.
Предлагаю такой алгоритм решения. В браузере указываете явно прокси сервер.
squid.conf восстановите из squid.conf.default
в новом squid.conf в секции http_access где-то в конце комментарим или удаляем строку http_access allow localnet
выходим из редактора.
лезем в самс удаляем свой ip, переконфигурируем squid.
лезем в инет, если все ништяк, прокси не даст вылезти.
после этого можно уже и в фаерволе заворачивать на него траффик.

Но к слову сказать у меня прозрачный прокси с аутентификацией по IP через самс сделать не получилось.
При завороте траффика сквид ругается на неправильные запросы.
Так что пришлось всем через групповые политики домена прокси сервер писать. А заворот траффика не дает вылезти в инет особо умным товарищам подключающим свою технику.

[Hunta]

Пользователя в самсе нет, под которым я ломлюсь на проксю.
В браузере явно указал ип прокси и порт, захожу и он пускает
Даже когда пользоваетя ещё не удалял, ставил ему ограничение в трафике, его ип попадал в файл disabled_ip.sams, но он все равно выходил в инет.
После каждых изменений сквид переконфигурировался, в журнале все Ок, ошибок не было.
У меня все, мысли кончились
Тут точно ipfw не причем?

Код: Выделить всё

# created by SAMS _sams_ 2009-11-4 13:17:37

#==============================================================================
#  TAG: auth_param
#==============================================================================
#Recommended minimum configuration per scheme:
#auth_param negotiate program <uncomment and complete this line to activate>
#auth_param negotiate children 5
#auth_param negotiate keep_alive on
#auth_param ntlm program <uncomment and complete this line to activate>
#auth_param ntlm children 5
#auth_param ntlm keep_alive on
#auth_param digest program <uncomment and complete this line>
#auth_param digest children 5
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
#auth_param basic program <uncomment and complete this line>
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours

#==============================================================================
#  TAG: authenticate_cache_garbage_interval
#==============================================================================

#==============================================================================
#  TAG: authenticate_ttl
#==============================================================================

#==============================================================================
#  TAG: authenticate_ip_ttl
#==============================================================================

#==============================================================================
#  TAG: external_acl_type
#==============================================================================

#==============================================================================
#  TAG: acl
acl _sams_4af0498d14af9 src "/usr/local/etc/squid/4af0498d14af9.sams" 
acl _sams_4af0498d14af9_time time MTWHF 08:50-18:10
#==============================================================================

acl localnet src 192.168.0.0/24	# RFC1918 possible internal network

#==========================================================================
#  TAG: http_access
http_access allow _sams_4af0498d14af9  _sams_4af0498d14af9_time  
http_access deny all
#==========================================================================
 ...

[Hunta]

Ведь если остановлю sams и squid демоны, меня же не должно пускать в инет через эту машину???
Завтра попробую, я если все таки будет пускать при остановленном сквиде, в чем может быть причина? Куда дальше копать?
Менял порт в настройках сквида, а в браузере нет, тогда ругается и не пускает в инет, пускает тока через тот порт который указан в настройках сквида, значит по идее весь http трафик все таки проходит через сквид.

[Mikola]

секцию http_access покажите полностью.

[Hunta]

Она полностью Для пущей достоверности захватил ещё и соседние

Код: Выделить всё

...
#==========================================================================
#  TAG: http_access
http_access allow _sams_4af0498d14af9  _sams_4af0498d14af9_time  
http_access deny all
#==========================================================================

#=============================================================================
#  TAG: http_reply_access
#=============================================================================
#	Allow replies to client requests. This is complementary to http_access.
#	http_reply_access allow|deny [!] aclname ...
#	NOTE: if there are no access lines present, the default is to allow
#	all replies
#
#	If none of the access lines cause a match the opposite of the
#	last line will apply. Thus it is good practice to end the rules
#	with an "allow all" or "deny all" entry.
#
#Default:
# none

#  TAG: icp_access 
...

[Hunta]

нашёл в чем мой косяк
сквид понимает маску тока 255.255.255.255, а я всем понаставил 255.255.255.0, и в этом случае почему то не срабатывал запрет, всем поправил маски и все заработало.
Всем спасибо!

[Boomberbun]

Тоже понадобилась автризация по IP. Настроил по статье с авторизацией по NCSA. Вопрос так и не решаеться. Создал шаблон где указал авторизацию по IP.Завёл пользователя указал его IP. )))) Ерунда какая то выходит ))) открываю браузер ввожу некий адрес захожу, кликаю на ссылку ссылка открываеться но вылетает окошко ввода логина и пароля.Нажимаю отмену сайт открываеться окошко пропадает.И так далее. Понимаю что что то с авторизацией вернее со строкой в проксе(auth_param basic program /usr/libexec/ncsa_auth /etc/squid/ncsa.sams ) Пробывал закоментировать ее сквид ваще не запускаеться. Парни может кто подскажет как всё это побороть?


PS....разобрался всё заработало! Но решил сделать ещё и прозрачный прокси.
В сквиде поставил http_port 127.0.0.1:8080 transparent
В pf указал интерфейс l0 на каком прокся порт 8080 написал правило для заворота www
В самсе создал шаблон c авторизацией по IP....вписал логин, пароль и IP юзера. И всё ок работает. Только вот что если перекинуть пользователя в другой профиль к примеру авторизацию по NCSA и реконфигурировать сквид, работать не будет нужно.....кароче я комп пока перегружаю))) думаю нужно рестарнуть демона самса, а может нет?