Squid авторизация пользователей

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
moadip
мл. сержант
Сообщения: 114
Зарегистрирован: 2007-01-17 14:32:23

Squid авторизация пользователей

Непрочитанное сообщение moadip » 2007-01-17 14:51:37

никак непойму как в Squid сделать, авторизацию по имени пользователю и паролю,

а именно:
пользователь получает ip адрес по DHCP.
DHCP сервер настроен на винде 2003,
соответственно ip переодически меняется...

заводить фрее в АД нехочется.

буду благодарен если кто-нить подкинет, умную статейка на этот счёт.

Заранее спасибо.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-01-17 15:17:05

однако, лучше по ntlm...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-01-17 15:19:35

Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
moadip
мл. сержант
Сообщения: 114
Зарегистрирован: 2007-01-17 14:32:23

Непрочитанное сообщение moadip » 2007-01-17 16:18:28

ещё такой вопросик.
возможно-ли сделать группы ? т.е . есть пользователи: вася, петя, дима и т.д.
что-бы они были в грппе USERS, и целиком группу урезать на скачку файлов..
группа ADMIN, саша, ваня и т.д. без ограничений
группа BOSS, ссо, ссе, с частичными ограничениями.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-01-17 17:03:24

moadip писал(а):ещё такой вопросик.
возможно-ли сделать группы ? т.е . есть пользователи: вася, петя, дима и т.д.
что-бы они были в грппе USERS, и целиком группу урезать на скачку файлов..
группа ADMIN, саша, ваня и т.д. без ограничений
группа BOSS, ссо, ссе, с частичными ограничениями.
Да. Можно

К примеру можно делать так
acl tech 192.168.1.1 192.168.2.2 192.168.2.3
В группу попадает 3 IP
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
moadip
мл. сержант
Сообщения: 114
Зарегистрирован: 2007-01-17 14:32:23

Непрочитанное сообщение moadip » 2007-01-17 17:06:18

dikens3 писал(а):
К примеру можно делать так
acl tech 192.168.1.1 192.168.2.2 192.168.2.3
В группу попадает 3 IP
Непрокатит
У нас DHCP, соответственно ипы меняются....

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-01-17 17:18:18

ntlm можно.... :)))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
moadip
мл. сержант
Сообщения: 114
Зарегистрирован: 2007-01-17 14:32:23

Непрочитанное сообщение moadip » 2007-01-17 17:55:11

lissyara писал(а):ntlm можно.... :)))
lissyara
А можно поподробнее...
или статейку какую-нить

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-01-17 22:44:42

alex_hha выкладывал... где-то на турбогазе своём...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
moadip
мл. сержант
Сообщения: 114
Зарегистрирован: 2007-01-17 14:32:23

Непрочитанное сообщение moadip » 2007-01-18 23:22:39

Блин, я уже замучался с этой авторизацией...
авторизация делаю по схеме 'ncsa_auth', на компутере юзера появляется форточка для ввода логина\пароля... после ввода данныых интернет неработает...
без авторизации всё работает как положено.
Помогите.

P.S. было-бы интересно взглянуть на рабочий конфиг с NCSA авторизацией.. (мож кто покажет :wink: )

P.S.S. приду на работу выложу свой...

Аватара пользователя
moadip
мл. сержант
Сообщения: 114
Зарегистрирован: 2007-01-17 14:32:23

Непрочитанное сообщение moadip » 2007-01-22 10:59:21

так с авторизацией разобрался...

ещё один вопросик
как сделать так что-бы при запросе сайта, например http://www.fishki.net
пользователя перебрасовало либо на другой сайт, либо на какую-нить картинку ?

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-01-22 11:10:09

rejik всё могёт.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-01-22 11:33:12

dikens3 писал(а):rejik всё могёт.
а без режика можно ?

Мальчик Митя
рядовой
Сообщения: 13
Зарегистрирован: 2007-01-27 10:01:35
Контактная информация:

Непрочитанное сообщение Мальчик Митя » 2007-02-17 23:11:27

Можно. Squid сам умеет редирект на url

в squid.conf дописываются:

acl redirect url_regex "/usr/local/etc/squid/list_of_sites.acl" # заводим acl с именем redirect и указываем, где лежит список сайтов, при обращении к которым будет производится редирект

http_access deny all redirect # запрещам группе all доступ к списку сайтов redirect
deny_info http://www.google.ru # и заворачиваем всех, например, в гугл

Аватара пользователя
kolesya
сержант
Сообщения: 191
Зарегистрирован: 2006-10-17 15:54:01
Откуда: Украина, Киев

Непрочитанное сообщение kolesya » 2007-02-19 22:12:29

ну по поводу "кальмара" ...

1. Ослика в нет вообще не пускать, дырявый сильно он :)
2. Логины использовать только латинницу в "мелком" регистре
3. Данные о юзверах храним в мускуле

squid.conf (избранное :D )
==================================
auth_param basic program /usr/local/squid/sqauth
auth_param basic children 5
redirect_program /usr/local/rejik/redirector

acl msie browser MSIE
acl getmozilla dstdomain .spreadfirefox.com
acl getmozilla dstdomain .getfirefox.com
acl getmozilla2 url_regex mozilla

deny_info ERR_BAD_BROWSER msie

http_access allow getmozilla
http_access allow getmozilla2
http_access deny msie

acl mynet proxy_auth REQUIRED src 192.168.0.0/16
http_access allow mynet !msie
http_access deny all

error_directory /usr/local/etc/squid/errors/Russian-koi8-r
==================================
root# cat /usr/local/squid/sqauth
#!/bin/sh
# переделано (т.е. упрощено по максимуму) со скриптов авторизации squid2mysql.
# линк сайта автора не помню :(

while read username password; do
status=`/usr/local/bin/mysql -u $YOUR_MYSQL_USER -D DATABASE_NAME -e "SELECT username FROM auth WHERE username='$username' AND password=password('$password')"`
# echo $status;
if [ "$status" = "" ]; then
echo "ERR"
else
echo "OK";
fi
done

root#
==================================
Табличка для списка юзверов ...
CREATE TABLE `auth` (
`username` char(12) collate cp1251_bin default NULL,
`password` char(60) collate cp1251_bin default NULL,
`allow` tinyint(1) default '0',
UNIQUE KEY `username` (`username`)
) ENGINE=MyISAM DEFAULT CHARSET=cp1251 COLLATE=cp1251_bin;
==================================

root# ls /usr/local/etc/squid/errors/Russian-koi8-r/
...
-r--r--r-- 1 root wheel 1045 30 ноя 12:42 ERR_BAD_BROWSER
...
root#
==================================

cat /usr/local/etc/squid/errors/Russian-koi8-r/ERR_BAD_BROWSER
==================================
root# cat ERR_BAD_BROWSER
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=koi8-r">
<TITLE>ОШИБКА: Запрошенный URL не может быть доставлен</TITLE>
<STYLE type="text/css"><!--BODY{background-color:#ffffff;font-family:verdana,sans-serif}PRE{font-family:sans-serif}--></STYLE>
</HEAD><BODY>
<H1>ОШИБКА</H1>
<H2>Запрошенный URL не может быть доставлен</H2>
<HR noshade size="1px">
<P>
Во время доставки URL:
<A HREF="%U">%U</A>
<P>
Произошла следующая ошибка:
<UL>
<LI>
<STRONG>
Попытка воспользоватся НЕПРАВИЛЬНЫМ браузером (типа Microsoft Internet Explorer).
<P>
P.S. Эта попытка занесена в протокол.
</STRONG>
<P>
Microsoft Internet Explorer (MSIE) не является безопасным браузером, и не допускается его использование в нашей организации
</p>
<p>Используйте более безопасный браузер, такой как <A HREF="http://yoursite/">Firefox</A>.
</UL>
<P>Что-бы отправить письмо администратору щелкните по <A HREF="mailto:%w">этой ссылке</A>.
root#
==================================

Если что забыл, пишите. Постараюсь помочь. :P

Аватара пользователя
kolesya
сержант
Сообщения: 191
Зарегистрирован: 2006-10-17 15:54:01
Откуда: Украина, Киев

Непрочитанное сообщение kolesya » 2007-02-19 22:33:21

Лис, предлагаю сделать по squid'у отдельную ветку