Squid - два домена и разделение прав доступа

[Carven]

Уважаемые UNIXоиды.
Ситуация - есть два домена имеющие трастовые отношения между собой . Так вот мне нужно группу пользователей к примеру ( Domen2\inet_mail.ru) завазять на доступ ко всем открытым и не забанненым сайтам И В ТОМ числе и к mail.ru. Всех остальных пользователей доменов Domen1 и Domen2 заблокировать доступ к mail.ru.

Судя по логам squid-> access.log аутенфикация проходит по логину пользователя, а не по группе пользователя. Может кто из гуру подскажет , что я делаю не так.

конфиг squid:

Код: Выделить всё

http_port 192.168.100.254:3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 2048 MB
maximum_object_size 1024 KB
maximum_object_size_in_memory 512 KB
minimum_object_size 4 KB
cache_dir ufs /usr/local/squid/cache 50000 64 512
access_log /var/log/squid/access.log squid
cache_store_log none
cache_log /var/log/squid/cache.log squid
cache_swap_low 90
cache_swap_high 95
cache_mgr ***
hosts_file /etc/hosts
append_domain .domen1.ru
error_directory /usr/local/etc/squid/errors/Russian-1251
cache_peer 127.0.0.1<-->parent 3127 0 default no-query
#authorization
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid for FreeBSD 7.0
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
#END auth_param

refresh_pattern ^ftp:<-><------>1440<-->20%<--->10080
refresh_pattern ^gopher:<------>1440<-->0%<---->1440
refresh_pattern .<-----><------>0<----->80%<--->14400<->
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl<--->url-mail-ru<--->dstdomain "/usr/local/etc/squid/url-mail-ru.txt"
acl <-->inetusers<----->external nt_group DOMEN1\inetusers
acl<--->inet_mail.ru<-->external nt_group DOMEN2\inet_mail.ru
acl<--->DOMEN1<----->proxy_auth<---->REQUIRED
acl<--->WSUS<--><------>dstdomain -i<-->"/usr/local/etc/squid/wsusupgrade.txt"
no_cache<------>deny<-->WSUS

acl<--->wf<----><------>url_regex ^http://***

acl<--->ssl_ports<----->port 443 563
acl<---> FTP <-><------>proto FTP
acl<--->safe_ports<---->port 80
acl<--->safe_ports<---->port 22
acl<--->safe_ports<---->port 443 563
acl <-->safe_ports<---->port 8443
acl<--->icq_ports<----->port 5190
acl<--->connect><------>method connect
acl <-->manager><------>proto cache_object

acl<--->all<---><------>src 192.168.100.0/255.255.255.0
acl<--->localhost<----->src 127.0.0.0/8

always_direct<->allow<->FTP
always_direct<->allow<->ssl_ports
http_access<--->allow<->manager>localhost
http_access<--->deny<-->manager

http_access<--->allow<->DOMEN1
http_access<--->allow<->WSUS
#http_access<-->allow<->not_autorized
http_access<--->allow<->localhost
http_access<--->deny<-->url-mail-ru<--->inetusers
http_access<--->allow<->inetusers
http_access<--->deny<-->CONNECT>!ssl_ports
http_access<--->deny<-->!safe_ports
http_access<--->deny<-->all
no_cache<------>deny<-->wf

forwarded_for off
cache_effective_user squid
cache_effective_group squid
client_lifetime 8 hours
url_rewrite_program<--->/usr/local/rejik/redirector /usr/local/rejik/redirector.conf
url_rewrite_children<-->15

конфиг самбы:

Код: Выделить всё

[global]
   workgroup = DOMEN1.RU
   server string =  proxy
    security = ADS
   hosts allow = 192.168.100.
   load printers = no
   log file = /var/log/samba34/samba.log
   max log size = 500
   password server = ЭТОТ.DOMEN1.RU
   realm = FORTE2001.RU
   passdb backend = tdbsam
    socket options = TCP_NODELAY
   local master = no
   os level = 0
   domain master = no
   preferred master = no
   domain logons = no
   dns proxy = no.
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
..
   encrypt passwords = yes
   winbind use default domain = no
   winbind uid = 10000-20000
   winbind gid = 10000-20000
   winbind enum users = yes
   winbind enum groups = yes

кусок лога при заходе на mail.ru из неавторизированной группы:

Код: Выделить всё

1302097068.911    114 192.168.100.63 TCP_MISS/200 3347 GET http://r2.mail.ru/b12532354.jpg DOMEN1\user1 DEFAULT_PARENT/127.0.0.1 image/jpeg

что выдает wbinfo -g:

Код: Выделить всё

DOMEN1\inetusers
DOMEN2\inet2010
DOMEN2\inet_mail.ru

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Craven]

Уважаемые , неужто среди вас нет , кто может помочь в вопросе?

[Craven]

Мда жесть с вами. Нет слов. ПРосьба модератора удалить тему ввиду полного отсутствия интереса и помощи по ней.

[snorlov]

Мда жесть с вами. Нет слов. ПРосьба модератора удалить тему ввиду полного отсутствия интереса и помощи по ней.

Ну а чего тут говорить,у тебя же есть строчка

Код: Выделить всё

http_access<--->deny<-->url-mail-ru<--->inetusers

Кто тебе мешает добавить перед ней

Код: Выделить всё

http_access<--->allow<-->inet-mail.ru
http_access<--->allow<-->!url-mail-ru<--->inetusers

[openmsk]

та же проблема.

в логах видно что пользователи авторизуются.
есть domain1\user1
а есть user2 (как бэ в domain 2)

при этом группы

Код: Выделить всё

echo user2 disable_mail | /usr/lib64/squid/wbinfo_group.pl
ok

но

Код: Выделить всё

echo user1 disable_mail | /usr/lib64/squid/wbinfo_group.pl
ERR

поясню, что disable_mail есть в обоих доменах, и пользователи user1 и user2 есть в этих группах соответствующие своему домену.