forum.lissyara.su

Раз не осталось живых, значит мертвые — Встать!
https://forum.lissyara.su/

Squid хитрый ACL

https://forum.lissyara.su/viewtopic.php?f=3&t=32361

Страница 1 из 1

Squid хитрый ACL

Добавлено: 2011-04-13 11:12:04
kharkov_max
Добрый день.

Установлен squid31 авторизация basic, ntlm из AD.
Все работает отлично.

Помогите составить хитрый ACL и access
Учитывать логины некоторых пользователей AD из локального файла.
Т.е. если пользователь есть в AD (проходит авторизацию) и прописан в файле руками то он должен попасть под этот ACL и http_access.

к примеру как то так:

Код: Выделить всё

acl localfileusers (что то) "/path/localsquidusers"

где localsquidusers вида:
DOMAIN\user1
DOMAIN\user2

http_access allow proxyauth localfileusers
где proxyauth доменные юзеры прошедшие авторизацию ntlm, basic
Что то не могу инфы найти по данному вопросу ...

Re: Squid хитрый ACL

Добавлено: 2011-04-13 13:03:03
терминус_
Не пишите во FreeBSD вопросы про Софт - для софтра есть спец раздел.
Счас придет f_andrei и двинет вашу тему в трэш для новичков где ее никто не найдет... И правильно сделает, да.

Re: Squid хитрый ACL

Добавлено: 2011-04-13 13:19:14
kharkov_max
терминус_ писал(а):Не пишите во FreeBSD вопросы про Софт - для софтра есть спец раздел.
Счас придет f_andrei и двинет вашу тему в трэш для новичков где ее никто не найдет... И правильно сделает, да.
Исправлюсь ...

Re: Squid хитрый ACL

Добавлено: 2011-04-13 18:36:25
suspender

Код: Выделить всё

...
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth  --helper-protocol=squid-2.5-basic
auth_param basic children 4
...
acl localfileusers proxyauth "/path/localsquidusers"
http_access allow localfileusers

Re: Squid хитрый ACL

Добавлено: 2011-04-14 9:44:44
kharkov_max
suspender писал(а):

Код: Выделить всё

...
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth  --helper-protocol=squid-2.5-basic
auth_param basic children 4
...
acl localfileusers proxyauth "/path/localsquidusers"
http_access allow localfileusers
Спасибо большое.

Re: Squid хитрый ACL

Добавлено: 2011-04-14 13:34:36
kharkov_max
Подскажите пожалуйста еще.

Через данный прокси отлично бегает ftp трафик.

Полностью зарезать ftp, для групп, у меня получилось.
Хочется разрешить только скачивать по ftp и зарезать возможность пользователю выложить файл по ftp через squid.

Re: Squid хитрый ACL

Добавлено: 2011-04-22 13:33:32
kharkov_max
suspender писал(а):

Код: Выделить всё

...
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth  --helper-protocol=squid-2.5-basic
auth_param basic children 4
...
acl localfileusers proxyauth "/path/localsquidusers"
http_access allow localfileusers
В продолжение ...
Пытаюсь прикрутить delay pool ...

Если пользователь описан только в группах AD мои настройки ограничения скорости прекрасно работают.
Если пользователь прописан еще и тут "acl localfileusers proxyauth "/path/localsquidusers"" - то данный юзер либо не попадает ни в одно правило delay pool и идет с максимальной скоростью, либо если последнее правило allow all попадает под него ...
Скоростью нужно рулить через AD ...

Как правильно составить такую конструкцию ограничений в SQUID ?

Re: Squid хитрый ACL

Добавлено: 2011-04-22 14:38:15
kharkov_max
Распишу примером а то на словах наверняка не ясно что я хочу в итоге получить:

Код: Выделить всё

.....
acl exe_files  url_regex  -i  "/usr/local/etc/squid/lan_conf/exe_files"

acl squidusers  proxy_auth  REQUIRED
acl proxy_admin_access  proxy_auth_regex  -i   "/usr/local/etc/squid/lan_conf/admin_user"
.....
.....
http_access allow   squidusers      inet_access     localnet        proxy_admin_access        exe_files
http_access deny    exe_files
.....
.....
delay_pool_uses_indirect_client On
delay_pools N1
.....
delay_class     N       4
delay_access    N       allow   inet_speed_fast
delay_access    N       deny    all
.....
# Как заглушка для всех кто не попал в правила ограничения скорости
delay_class     N1       1
delay_access    N1      allow   all

delay_parameters N -1/-1 -1/-1 -1/-1 92000/800000
delay_parameters N1 32/32

delay_initial_bucket_level 50
exe_files

Код: Выделить всё

\.exe$|\.com$| и т.д
admin_user

Код: Выделить всё

^DOMAIN\\nameuser$
.......
и т.д
Пользователь nameuser прописанный в файле admin_user входит в группу AD inet_speed_fast и по правилам фильтрации может качать .exe файл
Но по правилам delay pool попадает в класс N1 а по всей логике должен в класс N.

Не могу раскурить эту ситуацию ... помогите ...

Re: Squid хитрый ACL

Добавлено: 2011-04-26 13:34:55
kharkov_max
UP

Re: Squid хитрый ACL

Добавлено: 2011-05-02 7:03:36
kharkov_max
UP
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/