Страница 1 из 2
авторизация по IP ()squid+sams
Добавлено: 2008-12-31 19:52:09
mediamag
Я так понял это именно тот метод когда я пускаю только определенных юзеров под определенными айпи7 Тогда не подскажет ли кто нить где можно поподробнее почитать про этот метод авторизации?? Я пробовал делать по статье с авторизацией NCSA...но все же не могу найти где и как правильно изменить авторизацию.
Re: авторизация по IP ()squid+sams
Добавлено: 2009-01-01 22:29:33
vintovkin
окуда вы юзеров брать хотите?
в сквиде есть масса способов авторизазии.
Re: авторизация по IP ()squid+sams
Добавлено: 2009-01-02 16:18:08
mediamag
мне все ранво как брать..мне просо нада переключить в системе самс сквид авторизацию с NCSA на IP
Re: авторизация по IP ()squid+sams
Добавлено: 2009-01-02 21:01:10
tynix
Переключение авторизации производится в веб-интерфейсе, где точно- не скажу, т.к. не помню уже. либо в корне САМСа, либо в разделе настроек.
____________________________________________________________________________________________________________________
Вспомнил
САМС-Administration, жми кнопку настроек, и выбирай авторизацию
И сюда загляни по пути, полезно:
http://sams.perm.ru/demo/index.html
Re: авторизация по IP ()squid+sams
Добавлено: 2009-01-03 20:58:51
mediamag
переключил...не работает...завел юзера с логином пасом и айпи адресом...не пускает в инет...подозреваю что нада настраивать в squid.conf....
Re: авторизация по IP ()squid+sams
Добавлено: 2009-01-04 15:08:39
tynix
Ух... Удалил я самс давненько уже
А вы сквид перезапускали после смены авторизации? Мож самсдемона надо рестартануть? Или вообще сервак?
Посмотрите squid.conf на предмет basic-авторизации.
В squid.conf поищите строчки типа "sams_куча_символов", это от самса, попробуйте с ними поиграться, и в директории со squid.conf должны лежать файлики с подобными именами, предлагаю скопировать их в отдельную директорию вместе с squid.conf и издеваться над оригиналами.
Re: авторизация по IP ()squid+sams
Добавлено: 2009-01-04 15:40:30
mediamag
какие конкретно изменения нужно сделать в squid.conf для запуска ip авторизации? сервак ресал..файлики с кучей символов присутствуют
Re: авторизация по IP ()squid+sams
Добавлено: 2009-01-05 2:29:59
mediamag
В веб интерфейсе настройки для авторизации по айпи нашел и изменил...вот мой squid.conf
Код: Выделить всё
auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/ncsa.sams
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
http_port 8080
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
error_directory /usr/local/etc/squid/errors/Russian-1251
cache_dir ufs /usr/local/squid/cache 2048 64 256
access_log /usr/local/squid/logs/access.log squid
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
cache_mgr h-a-k-e-r@inbox.ru
visible_hostname inet.pie.local
tcp_outgoing_address xx.xx.xx.xx
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
url_rewrite_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
url_rewrite_children 20
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.0/8
acl our_networks src 192.168.0.0/24
http_access allow our_networks
http_access allow localhost
http_access deny all
http_port 127.0.0.1:8080
coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid
что еще нужно добавить чтобы была авторизация по айпи и самс считал трафик? юзеров я уже завел.
Re: авторизация по IP ()squid+sams
Добавлено: 2009-01-07 14:50:09
Гость
в конфиге сквида еще должны быть тэги(есть в стандартном конфиге) они как бы метки для самса куда вставлять его данные(подробнее на саите самса где то)
Re: авторизация по IP ()squid+sams
Добавлено: 2009-01-07 21:32:37
mediamag
спасибо
Re: авторизация по IP ()squid+sams
Добавлено: 2009-03-25 13:09:53
Kot_Off
День добрый! Похожая проблема. Чем все решилось? Укажите на путь истинный
Re: авторизация по IP ()squid+sams
Добавлено: 2009-03-25 23:59:47
mediamag
возьми дефайлтный конфиг сквида там есть теги перед каждым сектором натсроек типа
самс ориентируется по ним и вбивает нужную инфу в нужный раздел конфига, если их нет самс не понимает шо ты от него хош))
Re: авторизация по IP ()squid+sams
Добавлено: 2009-10-30 15:17:02
Hunta
Помогите пожалуйста, SAMS не отключает пользователей.
Стоит авторизация по IP, шаблон по IP, трафик пользователя считает прекрасно,
но после достижения лимита в вэбморде самса пользовтель отключен, в каталоге squid-а создается файлик:
disabled_ip.sams, в squid.conf:
Код: Выделить всё
...тип авторизации я закомментировал всю, не знаю правильно иль нет, но подумалось, что при авторизации по IP
оно там не надо :crazy:
# TAG: acl
acl _sams_4ae04a8f8811a src "/usr/local/etc/squid/4ae04a8f8811a.sams"
acl _sams_4ae04a8f8811a_time time MTWHF 08:55-18:10
acl _sams_4ae835128a6ce src "/usr/local/etc/squid/4ae835128a6ce.sams"
acl _sams_4ae835128a6ce_time time MTWHFAS 08:00-18:00
acl _sams_4ae833c985820 src "/usr/local/etc/squid/4ae833c985820.sams"
acl _sams_4ae833c985820_time time MTWHFAS 08:00-22:00
acl _sams_disabled_ip src "/usr/local/etc/squid/disabled_ip.sams"
acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams"
...
# TAG: http_access
http_access allow _sams_4ae04a8f8811a _sams_4ae04a8f8811a_time
http_access allow _sams_4ae835128a6ce _sams_4ae835128a6ce_time
http_access allow _sams_4ae833c985820 _sams_4ae833c985820_time
http_access deny _sams_disabled_ip !_sams_local_ip
...
Подскажите пожалуйста, заранее спасибо
Re: авторизация по IP ()squid+sams
Добавлено: 2009-11-03 11:16:32
Mikola
Если у вас создается файл с отключенными ИП адресами значит самс работает.
Возможно сквид по умолчаннию пропускает всех
Самая последня строка в секции доступа http:
# TAG: http_access.
должна быть:
http_access deny all
Я вообще сделал так сначала что сквид никого не пропускал, а потом добавлял аккаунты в самс и проверял чтобы выпускал.
Re: авторизация по IP ()squid+sams
Добавлено: 2009-11-03 12:22:45
Hunta
Кажись начало проясняься, хорошо, что сервак тестовый и для вот таких опытов.
Прокся по моему у меня получилась прозрачная, даже не заводя пользователей в сквиде, меня все равно пускает в инет, я так понимаю надо пакеты протокола http заворачивать в ipfw на squid, на порт 3128???? Вот сейчас разбираюсь с ipfw
Re: авторизация по IP ()squid+sams
Добавлено: 2009-11-03 13:05:31
FoxDW
авторизация в транспарент режиме не работает
Re: авторизация по IP ()squid+sams
Добавлено: 2009-11-03 13:18:06
Hunta
Это где в сквиде????
Я там тип авторизации всю закомментировал, вот думаю правильно иль нет?
Re: авторизация по IP ()squid+sams
Добавлено: 2009-11-03 14:45:29
Hunta
Вроде разобрался, у меня в сквиде был по любому разрешен доступ по http и много ещё по чему, думаю это оно
Код: Выделить всё
...
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# TAG: http_access
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
...
Re: авторизация по IP ()squid+sams
Добавлено: 2009-11-03 16:08:44
Гость
Это секция acl - листов контроля доступа.
по дефолту это все закрыто.
Предлагаю такой алгоритм решения. В браузере указываете явно прокси сервер.
squid.conf восстановите из squid.conf.default
в новом squid.conf в секции http_access где-то в конце комментарим или удаляем строку http_access allow localnet
выходим из редактора.
лезем в самс удаляем свой ip, переконфигурируем squid.
лезем в инет, если все ништяк, прокси не даст вылезти.
после этого можно уже и в фаерволе заворачивать на него траффик.
Но к слову сказать у меня прозрачный прокси с аутентификацией по IP через самс сделать не получилось.
При завороте траффика сквид ругается на неправильные запросы.
Так что пришлось всем через групповые политики домена прокси сервер писать. А заворот траффика не дает вылезти в инет особо умным товарищам подключающим свою технику.
Re: авторизация по IP ()squid+sams
Добавлено: 2009-11-04 12:35:21
Hunta
Пользователя в самсе нет, под которым я ломлюсь на проксю.
В браузере явно указал ип прокси и порт, захожу и он пускает
Даже когда пользоваетя ещё не удалял, ставил ему ограничение в трафике, его ип попадал в файл disabled_ip.sams, но он все равно выходил в инет.
После каждых изменений сквид переконфигурировался, в журнале все Ок, ошибок не было.
У меня все, мысли кончились
Тут точно ipfw не причем?
Код: Выделить всё
# created by SAMS _sams_ 2009-11-4 13:17:37
#==============================================================================
# TAG: auth_param
#==============================================================================
#Recommended minimum configuration per scheme:
#auth_param negotiate program <uncomment and complete this line to activate>
#auth_param negotiate children 5
#auth_param negotiate keep_alive on
#auth_param ntlm program <uncomment and complete this line to activate>
#auth_param ntlm children 5
#auth_param ntlm keep_alive on
#auth_param digest program <uncomment and complete this line>
#auth_param digest children 5
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
#auth_param basic program <uncomment and complete this line>
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours
#==============================================================================
# TAG: authenticate_cache_garbage_interval
#==============================================================================
#==============================================================================
# TAG: authenticate_ttl
#==============================================================================
#==============================================================================
# TAG: authenticate_ip_ttl
#==============================================================================
#==============================================================================
# TAG: external_acl_type
#==============================================================================
#==============================================================================
# TAG: acl
acl _sams_4af0498d14af9 src "/usr/local/etc/squid/4af0498d14af9.sams"
acl _sams_4af0498d14af9_time time MTWHF 08:50-18:10
#==============================================================================
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
#==========================================================================
# TAG: http_access
http_access allow _sams_4af0498d14af9 _sams_4af0498d14af9_time
http_access deny all
#==========================================================================
...
Re: авторизация по IP ()squid+sams
Добавлено: 2009-11-04 20:47:10
Hunta
Ведь если остановлю sams и squid демоны, меня же не должно пускать в инет через эту машину???
Завтра попробую, я если все таки будет пускать при остановленном сквиде, в чем может быть причина? Куда дальше копать?
Менял порт в настройках сквида, а в браузере нет, тогда ругается и не пускает в инет, пускает тока через тот порт который указан в настройках сквида, значит по идее весь http трафик все таки проходит через сквид.
Re: авторизация по IP ()squid+sams
Добавлено: 2009-11-05 9:43:05
Mikola
секцию http_access покажите полностью.
Re: авторизация по IP ()squid+sams
Добавлено: 2009-11-05 10:11:02
Hunta
Она полностью
Для пущей достоверности захватил ещё и соседние
Код: Выделить всё
...
#==========================================================================
# TAG: http_access
http_access allow _sams_4af0498d14af9 _sams_4af0498d14af9_time
http_access deny all
#==========================================================================
#=============================================================================
# TAG: http_reply_access
#=============================================================================
# Allow replies to client requests. This is complementary to http_access.
# http_reply_access allow|deny [!] aclname ...
# NOTE: if there are no access lines present, the default is to allow
# all replies
#
# If none of the access lines cause a match the opposite of the
# last line will apply. Thus it is good practice to end the rules
# with an "allow all" or "deny all" entry.
#
#Default:
# none
# TAG: icp_access
...
Re: авторизация по IP ()squid+sams
Добавлено: 2009-11-05 14:25:18
Hunta
нашёл в чем мой косяк
сквид понимает маску тока 255.255.255.255, а я всем понаставил 255.255.255.0, и в этом случае почему то не срабатывал запрет, всем поправил маски и все заработало.
Всем спасибо!
Re: авторизация по IP ()squid+sams
Добавлено: 2010-02-20 21:21:23
Boomberbun
Тоже понадобилась автризация по IP. Настроил по статье с авторизацией по NCSA. Вопрос так и не решаеться. Создал шаблон где указал авторизацию по IP.Завёл пользователя указал его IP. )))) Ерунда какая то выходит ))) открываю браузер ввожу некий адрес захожу, кликаю на ссылку ссылка открываеться но вылетает окошко ввода логина и пароля.Нажимаю отмену сайт открываеться окошко пропадает.И так далее. Понимаю что что то с авторизацией вернее со строкой в проксе(auth_param basic program /usr/libexec/ncsa_auth /etc/squid/ncsa.sams ) Пробывал закоментировать ее сквид ваще не запускаеться. Парни может кто подскажет как всё это побороть?
PS....разобрался всё заработало! Но решил сделать ещё и прозрачный прокси.
В сквиде поставил http_port 127.0.0.1:8080 transparent
В pf указал интерфейс l0 на каком прокся порт 8080 написал правило для заворота www
В самсе создал шаблон c авторизацией по IP....вписал логин, пароль и IP юзера. И всё ок работает. Только вот что если перекинуть пользователя в другой профиль к примеру авторизацию по NCSA и реконфигурировать сквид, работать не будет нужно.....кароче я комп пока перегружаю))) думаю нужно рестарнуть демона самса, а может нет?