squid-3.5.27_3 на freebsd 11.1
Добавлено: 2018-06-06 13:39:04
Добрый день!
Столкнулся проблемой, в какую сторону копать не знаю.
Тестирую SQUID-3.5.27_3 с поддержкой samba для управления интернетом через группы пользователей из АД.
Из портов поставить не получилось, поставил из готовых пакетов. FreeBsd 11.1
В итоге ext_wbinfo_group_acl не корректно отрабатывает, а именно
доступ предоставляется всем пользователям прошедшим проверку, а не по определенным группам для интернета,
проверял работу самого ext_wbinfo_group_acl:
echo user Internet_all | /usr/local/libexec/squid/ext_wbinfo_group_acl
Если пользователь есть группе АД то возвращает ОК если нет то ERR
Сам конфиг:
# Recommended minimum configuration:
#auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=Domain\Internet_all
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on
################################################################################
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/ext_wbinfo_group_acl
acl Internet_all external nt_group Internet_all
acl Internet_base external nt_group Internet_base
acl Domain proxy_auth REQUIRED
################################################################################
acl SSL_ports port 443 563 1025-65535 # https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
################################################################################
acl base_url url_regex "/usr/local/etc/squid/files/base_url"
acl ext_url url_regex "/usr/local/etc/squid/files/ext_url"
acl porn_url url_regex "/usr/local/etc/squid/files/porn_url"
acl bigfiles urlpath_regex \.bmp$ \.swf$ \.mp3$ \.mid$ \.avi$ \.mpeg$
acl banners urlpath_regex sputnik/img\.pl advert.*gif weblist_banner cgi-bin/ba
#
# Recommended minimum Access Permission configuration:
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow Domain Internet_all all
http_access allow Internet_base base_url
http_access allow localhost
http_access deny porn_url all
http_access deny bigfiles all
http_access deny banners all
http_access deny all
################################################################################
http_port 3128
cache_mem 64 MB
maximum_object_size 16384 KB
cache_access_log /var/log/squid/access.log squid
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid/squid.pid
ftp_user anonimouse@mail.ru
ftp_passive on
dns_nameservers 8.8.8.8
diskd_program /usr/local/libexec/squid/diskd
unlinkd_program /usr/local/libexec/squid/unlinkd
pinger_program /usr/local/libexec/squid/pinger
cache_effective_user squid
cache_effective_group squid
logfile_rotate 10
#===================================================================
cache_dir ufs /var/log/squid/cache 100 16 256
coredump_dir /var/log/squid/cache
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:<-><------>1440<-->20%<--->10080
refresh_pattern ^gopher:<------>1440<-->0%<---->1440
refresh_pattern -i (/cgi-bin/|\?) 0<--->0%<---->0
refresh_pattern .<-----><------>0<----->20%<--->4320
Буду признателен за любую помощь!
Столкнулся проблемой, в какую сторону копать не знаю.
Тестирую SQUID-3.5.27_3 с поддержкой samba для управления интернетом через группы пользователей из АД.
Из портов поставить не получилось, поставил из готовых пакетов. FreeBsd 11.1
В итоге ext_wbinfo_group_acl не корректно отрабатывает, а именно
доступ предоставляется всем пользователям прошедшим проверку, а не по определенным группам для интернета,
проверял работу самого ext_wbinfo_group_acl:
echo user Internet_all | /usr/local/libexec/squid/ext_wbinfo_group_acl
Если пользователь есть группе АД то возвращает ОК если нет то ERR
Сам конфиг:
# Recommended minimum configuration:
#auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=Domain\Internet_all
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on
################################################################################
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/ext_wbinfo_group_acl
acl Internet_all external nt_group Internet_all
acl Internet_base external nt_group Internet_base
acl Domain proxy_auth REQUIRED
################################################################################
acl SSL_ports port 443 563 1025-65535 # https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
################################################################################
acl base_url url_regex "/usr/local/etc/squid/files/base_url"
acl ext_url url_regex "/usr/local/etc/squid/files/ext_url"
acl porn_url url_regex "/usr/local/etc/squid/files/porn_url"
acl bigfiles urlpath_regex \.bmp$ \.swf$ \.mp3$ \.mid$ \.avi$ \.mpeg$
acl banners urlpath_regex sputnik/img\.pl advert.*gif weblist_banner cgi-bin/ba
#
# Recommended minimum Access Permission configuration:
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow Domain Internet_all all
http_access allow Internet_base base_url
http_access allow localhost
http_access deny porn_url all
http_access deny bigfiles all
http_access deny banners all
http_access deny all
################################################################################
http_port 3128
cache_mem 64 MB
maximum_object_size 16384 KB
cache_access_log /var/log/squid/access.log squid
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid/squid.pid
ftp_user anonimouse@mail.ru
ftp_passive on
dns_nameservers 8.8.8.8
diskd_program /usr/local/libexec/squid/diskd
unlinkd_program /usr/local/libexec/squid/unlinkd
pinger_program /usr/local/libexec/squid/pinger
cache_effective_user squid
cache_effective_group squid
logfile_rotate 10
#===================================================================
cache_dir ufs /var/log/squid/cache 100 16 256
coredump_dir /var/log/squid/cache
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:<-><------>1440<-->20%<--->10080
refresh_pattern ^gopher:<------>1440<-->0%<---->1440
refresh_pattern -i (/cgi-bin/|\?) 0<--->0%<---->0
refresh_pattern .<-----><------>0<----->20%<--->4320
Буду признателен за любую помощь!