Вот еще один вопросик появился. Если для авторизации виндовых юзеров использовать не NTLM
Код: Выделить всё
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol
=squid-2.5-basic
а kerberos
Код: Выделить всё
auth_param negotiate program /usr/sbin/squid_kerb_auth
то можно ли в таком случае строить ACL для групп?
Вот для NTLM ацл строиться так:
Код: Выделить всё
acl users_from_ad_group_IT external nt_group IT
а при использовании кербероса синтаксис ацл такой:
из мана по сквиду:
Код: Выделить всё
acl aclname proxy_auth [-i] username ...
acl aclname proxy_auth_regex [-i] pattern ...
# perform http authentication challenge to the client and match against
# supplied credentials [slow]
#
# takes a list of allowed usernames.
# use REQUIRED to accept any valid username.
#
# Will use proxy authentication in forward-proxy scenarios, and plain
# http authenticaiton in reverse-proxy scenarios
#
# NOTE: when a Proxy-Authentication header is sent but it is not
# needed during ACL checking the username is NOT logged
# in access.log.
#
# NOTE: proxy_auth requires a EXTERNAL authentication program
# to check username/password combinations (see
# auth_param directive).
#
# NOTE: proxy_auth can't be used in a transparent/intercepting proxy
# as the browser needs to be configured for using a proxy in order
# to respond to proxy authentication.
выходит, что использовать группы при керберосе никак не выйдет?
Было бы здорово, если бы как-нить было бы можно по группам. В 7й винде в эксплоррере по-умолчанию NTLM вроде уже нет - для таких надо будет руками нтлм включать.
