Страница 1 из 1
группы в сквиде
Добавлено: 2007-12-18 12:51:21
f0s
хочу разграничить доступ по группам
делаю так:
Код: Выделить всё
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl spb external nt_group spb
acl admins external nt_group admins
с нижней конструкцией не работает.. ну то есть в инет не пускает, выдает ERR_ACCESS_DENIED
Код: Выделить всё
http_access allow our_network spb DomainUsers
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
deny_info ERR_ACCESS_DENIED all
http_access deny all
хотя:
Код: Выделить всё
[f0s@router] /home/f0s/> /usr/local/libexec/squid/wbinfo_group.pl
f0s spb
OK
f0s msk
ERR
f0s it
OK
и второй вопрос по delay_pools:
при таком конфиге, ACL admins (что представляет из себя группу admins), опять таки режется инет, как и ACL our_network, хотя должен группе админс давать нелимитированный по скорости инет
Код: Выделить всё
delay_pools 2
delay_class 1 1 # admin
delay_class 2 2 # all
delay_access 1 allow admins
delay_access 1 deny all
delay_access 2 allow our_network
delay_access 2 deny all
delay_parameters 1 -1/-1
delay_parameters 2 80000/80000 9000/16000
Re: группы в сквиде
Добавлено: 2007-12-18 18:35:00
Morty
может он не видет группу ? и футболит
посм на фре
должно писать в какие группы входит...
у мну что-то подобное было , в виндошном DC ставил -> Член групп -> задать основную(ставиш ту что нада для инета)
потом на фре опять через id смотриш видит ли оно нужную тебе группу.
Но нащет задавания основной группы в АД - сам не уверен насколько правильно поступаю
Re: группы в сквиде
Добавлено: 2007-12-19 13:37:48
f0s
Morty писал(а):может он не видет группу ? и футболит
посм на фре
должно писать в какие группы входит...
у мну что-то подобное было , в виндошном DC ставил -> Член групп -> задать основную(ставиш ту что нада для инета)
потом на фре опять через id смотриш видит ли оно нужную тебе группу.
Но нащет задавания основной группы в АД - сам не уверен насколько правильно поступаю
да нет, нормально все с этим:
Код: Выделить всё
[f0s@router] /home/f0s/> id admin
uid=10003(admin) gid=10004(admins) groups=10004(admins)
юзер админ входит в группу
admins, которую я в acl прописываю
Re: группы в сквиде
Добавлено: 2007-12-21 23:44:43
Dron
acl spb external nt_group spb
acl admins external nt_group admins
и
Код: Выделить всё
[f0s@router] /home/f0s/> id admin
uid=10003(admin) gid=10004(admins) groups=10004(admins)
Ну не вяжется...
там группа с винды, а тут локальная инфа (если не ошибаюсь)...
первое проверяется скриптом
А вот в системе есть чем смотреть группы с винды?
по поводу delay_pool для админов...
Я слелал так, что у админов просто нет доступа ни к одному из delay_pool - никаких ограничений...
А вот насчет
выдает ERR_ACCESS_DENIED
даж не знаю... в логи чего-нить валит?
Re: группы в сквиде
Добавлено: 2007-12-22 0:32:23
Morty
А вот в системе есть чем смотреть группы с винды?
id должно смотреть
для того что б узнать куда юзер входит
и
какие вообще есть группы
Re: группы в сквиде
Добавлено: 2007-12-24 11:10:03
f0s
_Dron_ писал(а):acl spb external nt_group spb
acl admins external nt_group admins
и
Код: Выделить всё
[f0s@router] /home/f0s/> id admin
uid=10003(admin) gid=10004(admins) groups=10004(admins)
Ну не вяжется...
там группа с винды, а тут локальная инфа (если не ошибаюсь)...
первое проверяется скриптом
А вот в системе есть чем смотреть группы с винды?
вообще-то у меня нет винды. домен самбе, и группы с PDC Самбовского. и id показывает в том числе и доменные группы.
по поводу delay_pool для админов...
Я слелал так, что у админов просто нет доступа ни к одному из delay_pool - никаких ограничений...
я так не хочу. мне надо админов тоже ограничить
А вот насчет
выдает ERR_ACCESS_DENIED
даж не знаю... в логи чего-нить валит?
да он просто не принимает что юзер в группу эту входит
Re: группы в сквиде
Добавлено: 2007-12-24 12:19:10
Dron
Сквид и самба у тебя на одной машинке?
А чего не сделаешь авторизацию через LDAP, если домен на самбе с LDAP поднимал?
Morty писал(а):id должно смотреть для того что б узнать куда юзер входит
Да ладно... чтобы id видел чего-то, для LDAP нужен - nss_ldap, для просмотра типа с винды - winbind и это все хозяйсто должно быть прописано в nsswitch.conf
A если ты смотришь скриптиком который прописан только в squid, как оно в системе покажется?
Re: группы в сквиде
Добавлено: 2007-12-24 16:20:21
f0s
_Dron_ писал(а):Сквид и самба у тебя на одной машинке?
А чего не сделаешь авторизацию через LDAP, если домен на самбе с LDAP поднимал?
самба и сквид на разных.. а в чем приимущество в ldap, если по winvind должно работать?
Morty писал(а):id должно смотреть для того что б узнать куда юзер входит
Да ладно... чтобы id видел чего-то, для LDAP нужен - nss_ldap, для просмотра типа с винды - winbind и это все хозяйсто должно быть прописано в nsswitch.conf
ну, это естесвенно все есть