Страница 1 из 1
Squid с авторизацией в AD и групповые правила в SquidGuard
Добавлено: 2010-04-08 15:34:47
terminus
Вопрос в работоспособности связки Squid+windind вместе с SguidGuard+ldapusersearch.
В доках что-то написано про необходимость использования ident для возможности различать юзеров, но ведь когда уже используется ntlm, то сквид должен будет брать имя юзера от туда?
У кого-нить работает Squid+windind вместе с SguidGuard+ldapusersearch? То есть аутентификация по группам в АД как для доступа к сквиду, так и для назначения правил реврайта в SguidGuard? Ведь для этого еще и identd не надо на клиентах запускать, правильно?
Я просто перестраховываюсь/переспрашиваю. Не делал еще так - поэтому глупые вопросы...
Re: Squid с авторизацией в AD и групповые правила в SquidGua
Добавлено: 2010-04-09 20:17:25
ADRE
всё работает
Re: Squid с авторизацией в AD и групповые правила в SquidGua
Добавлено: 2010-04-15 11:02:17
terminus
Вот еще один вопросик появился. Если для авторизации виндовых юзеров использовать не NTLM
Код: Выделить всё
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol
=squid-2.5-basic
а kerberos
Код: Выделить всё
auth_param negotiate program /usr/sbin/squid_kerb_auth
то можно ли в таком случае строить ACL для групп?
Вот для NTLM ацл строиться так:
Код: Выделить всё
acl users_from_ad_group_IT external nt_group IT
а при использовании кербероса синтаксис ацл такой:
из мана по сквиду:
Код: Выделить всё
acl aclname proxy_auth [-i] username ...
acl aclname proxy_auth_regex [-i] pattern ...
# perform http authentication challenge to the client and match against
# supplied credentials [slow]
#
# takes a list of allowed usernames.
# use REQUIRED to accept any valid username.
#
# Will use proxy authentication in forward-proxy scenarios, and plain
# http authenticaiton in reverse-proxy scenarios
#
# NOTE: when a Proxy-Authentication header is sent but it is not
# needed during ACL checking the username is NOT logged
# in access.log.
#
# NOTE: proxy_auth requires a EXTERNAL authentication program
# to check username/password combinations (see
# auth_param directive).
#
# NOTE: proxy_auth can't be used in a transparent/intercepting proxy
# as the browser needs to be configured for using a proxy in order
# to respond to proxy authentication.
выходит, что использовать группы при керберосе никак не выйдет?
Было бы здорово, если бы как-нить было бы можно по группам. В 7й винде в эксплоррере по-умолчанию NTLM вроде уже нет - для таких надо будет руками нтлм включать.
Re: Squid с авторизацией в AD и групповые правила в SquidGua
Добавлено: 2010-04-16 12:33:48
terminus
Я вот еще хочу спросить про сквида - можно ли в реальном времени получить с него статистику по сессиям и пользователям? Можно ли сделать это с помошью систем мониторинга типа забикса или нагиос чтобы "красиво"?
Я еще не искал сам. Может быть кто подскажет, если сам такое использует?
Sarg это немного не то - надо бы в риатлайме...