Проблемы с установкой, настройкой и работой системных и сетевых программ.
Модераторы: GRooVE, alexco
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Непрочитанное сообщение
kharkov_max » 2011-04-13 11:12:04
Добрый день.
Установлен squid31 авторизация basic, ntlm из AD.
Все работает отлично.
Помогите составить хитрый ACL и access
Учитывать логины некоторых пользователей AD из локального файла.
Т.е. если пользователь есть в AD (проходит авторизацию) и прописан в файле руками то он должен попасть под этот ACL и http_access.
к примеру как то так:
Код: Выделить всё
acl localfileusers (что то) "/path/localsquidusers"
где localsquidusers вида:
DOMAIN\user1
DOMAIN\user2
http_access allow proxyauth localfileusers
где proxyauth доменные юзеры прошедшие авторизацию ntlm, basic
Что то не могу инфы найти по данному вопросу ...
kharkov_max
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
терминус_
- проходил мимо
Непрочитанное сообщение
терминус_ » 2011-04-13 13:03:03
Не пишите во FreeBSD вопросы про Софт - для софтра есть спец раздел.
Счас придет f_andrei и двинет вашу тему в трэш для новичков где ее никто не найдет... И правильно сделает, да.
терминус_
-
kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Непрочитанное сообщение
kharkov_max » 2011-04-13 13:19:14
терминус_ писал(а):Не пишите во FreeBSD вопросы про Софт - для софтра есть спец раздел.
Счас придет f_andrei и двинет вашу тему в трэш для новичков где ее никто не найдет... И правильно сделает, да.
Исправлюсь ...
kharkov_max
-
suspender
- сержант
- Сообщения: 160
- Зарегистрирован: 2007-11-19 10:47:09
Непрочитанное сообщение
suspender » 2011-04-13 18:36:25
Код: Выделить всё
...
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 4
...
acl localfileusers proxyauth "/path/localsquidusers"
http_access allow localfileusers
suspender
-
kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Непрочитанное сообщение
kharkov_max » 2011-04-14 9:44:44
suspender писал(а):Код: Выделить всё
...
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 4
...
acl localfileusers proxyauth "/path/localsquidusers"
http_access allow localfileusers
Спасибо большое.
kharkov_max
-
kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Непрочитанное сообщение
kharkov_max » 2011-04-14 13:34:36
Подскажите пожалуйста еще.
Через данный прокси отлично бегает ftp трафик.
Полностью зарезать ftp, для групп, у меня получилось.
Хочется разрешить только скачивать по ftp и зарезать возможность пользователю выложить файл по ftp через squid.
kharkov_max
-
kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Непрочитанное сообщение
kharkov_max » 2011-04-22 13:33:32
suspender писал(а):Код: Выделить всё
...
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 4
...
acl localfileusers proxyauth "/path/localsquidusers"
http_access allow localfileusers
В продолжение ...
Пытаюсь прикрутить delay pool ...
Если пользователь описан только в группах AD мои настройки ограничения скорости прекрасно работают.
Если пользователь прописан еще и тут "acl localfileusers proxyauth "/path/localsquidusers"" - то данный юзер либо не попадает ни в одно правило delay pool и идет с максимальной скоростью, либо если последнее правило allow all попадает под него ...
Скоростью нужно рулить через AD ...
Как правильно составить такую конструкцию ограничений в SQUID ?
kharkov_max
-
kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Непрочитанное сообщение
kharkov_max » 2011-04-22 14:38:15
Распишу примером а то на словах наверняка не ясно что я хочу в итоге получить:
Код: Выделить всё
.....
acl exe_files url_regex -i "/usr/local/etc/squid/lan_conf/exe_files"
acl squidusers proxy_auth REQUIRED
acl proxy_admin_access proxy_auth_regex -i "/usr/local/etc/squid/lan_conf/admin_user"
.....
.....
http_access allow squidusers inet_access localnet proxy_admin_access exe_files
http_access deny exe_files
.....
.....
delay_pool_uses_indirect_client On
delay_pools N1
.....
delay_class N 4
delay_access N allow inet_speed_fast
delay_access N deny all
.....
# Как заглушка для всех кто не попал в правила ограничения скорости
delay_class N1 1
delay_access N1 allow all
delay_parameters N -1/-1 -1/-1 -1/-1 92000/800000
delay_parameters N1 32/32
delay_initial_bucket_level 50
exe_files
admin_user
Пользователь nameuser прописанный в файле admin_user входит в группу AD inet_speed_fast и по правилам фильтрации может качать .exe файл
Но по правилам delay pool попадает в класс N1 а по всей логике должен в класс N.
Не могу раскурить эту ситуацию ... помогите ...
kharkov_max
-
kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
kharkov_max
-
kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
kharkov_max