форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Samba, вопросы интеграции Unix и Windows (ACL, блокировки и ограничения)
Изначальное сообщение		[ Отслеживать ]

"Доступа через SQUID к определенным ресурсам на уровне групп ..."		+/–
Сообщение от Den_Urasov (ok) on 24-Янв-07, 11:48
Помогите решить следующую задачу с разрешением доступа к определенным ресурсам на уровне групп. _Имеем_: Стандартную аутентификацию пользователей через NTLM. Т.е. если пользователь принадлежить группе "Internet-Access", то сквид пускает его: auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-787762258-882461402-281947949-2472 auth_param ntlm children 10 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 10 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours acl myusers proxy_auth REQUIRED       http_access allow myusers _Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru. Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к разным acl, но как? Помогите пожалуйста!
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Доступа через SQUID к определенным ресурсам на уровне групп ..."		+/–
Сообщение от Amazonka (??) on 24-Янв-07, 12:03
>Помогите решить следующую задачу с разрешением доступа к определенным ресурсам на уровне >групп. >_Имеем_: Стандартную аутентификацию пользователей через NTLM. Т.е. если пользователь принадлежить группе "Internet-Access", >то сквид пускает его: > >auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-787762258-882461402-281947949-2472 >auth_param ntlm children 10 >auth_param ntlm max_challenge_reuses 0 >auth_param ntlm max_challenge_lifetime 2 minutes > >auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic >auth_param basic children 10 >auth_param basic realm Squid proxy-caching web server >auth_param basic credentialsttl 2 hours > > acl myusers proxy_auth REQUIRED >      http_access allow myusers > >_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны >иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru. >Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к >разным acl, но как? >Помогите пожалуйста! acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов http_access allow Internet-Limit allowURLS // група Internet-Limit ходит только по сайтам, заданным в файле spisok.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Доступа через SQUID к определенным ресурсам на уровне групп ..."		+/–
	Сообщение от Den_Urasov (ok) on 24-Янв-07, 12:13
	>>_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны >>иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru. >>Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к >>разным acl, но как? >>Помогите пожалуйста! > >acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов > > >http_access allow Internet-Limit allowURLS // група Internet-Limit ходит только по сайтам, заданным >в файле spisok. Internet-Limit - группа в AD Такое правило явно не будет работать: http_access allow Internet-Limit allowURLS Откуда squid узнает какие пользователи принадлежат группе Internet-Limit?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Доступа через SQUID к определенным ресурсам на уровне групп ..."		+/–
	Сообщение от Amazonka (??) on 24-Янв-07, 13:01
	>Internet-Limit - группа в AD >Такое правило явно не будет работать: http_access allow Internet-Limit allowURLS >Откуда squid узнает какие пользователи принадлежат группе Internet-Limit? Надо сквиду задать группу аслем в сквиде.У тебя как в АД как группа задана? В сквиде можно по IP-адресам, можно по логинам, можно по тем и другим :). Тут неплохая статья по настройке: http://www.lissyara.su/?id=1026
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Доступа через SQUID к определенным ресурсам на уровне групп ..."		+/–
	Сообщение от Den_Urasov (ok) on 24-Янв-07, 13:49
	>>Internet-Limit - группа в AD >>Такое правило явно не будет работать: http_access allow Internet-Limit allowURLS >>Откуда squid узнает какие пользователи принадлежат группе Internet-Limit? >Надо сквиду задать группу аслем в сквиде.У тебя как в АД как >группа задана? В сквиде можно по IP-адресам, можно по логинам, можно >по тем и другим :). >Тут неплохая статья по настройке: http://www.lissyara.su/?id=1026 Мне нужно настроить squid и не лазить больше в конфиги, а управлять пользователями только из AD. Пришел новый сотрудник, добавил его в группу Internet-Limit, его автоматически squid начал пускать только на определенные сайты. Уволился сотрудник, удалил его из группы и все. Не нужно лазить в конфиги и править их постоянно. Поэтому авторизация по IP-адресу или по логинам, которые скажем в текстовом файле лежат - мне не подходит. Нужна именно авторизация из домена Windows.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Доступа через SQUID к определенным ресурсам на уровне групп ..."		+/–
	Сообщение от Kliver on 24-Янв-07, 15:23
	>>>Internet-Limit - группа в AD >>Тут неплохая статья по настройке: http://www.lissyara.su/?id=1026 >Мне нужно настроить squid и не лазить больше в конфиги, а управлять >пользователями только из AD. Пришел новый сотрудник, добавил его в группу >Internet-Limit, его автоматически squid начал пускать только на определенные сайты. Уволился >сотрудник, удалил его из группы и все. Не нужно лазить в >конфиги и править их постоянно. Поэтому авторизация по IP-адресу или по >логинам, которые скажем в текстовом файле лежат - мне не подходит. >Нужна именно авторизация из домена Windows. Взять wbinfo_group.pl переделать, чтобы он сохранял список пользователей группы в файл и этот файл использовать в acl. Этот способ здесь как-то проскакивал вместе со скриптом
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "Доступа через SQUID к определенным ресурсам на уровне групп ..."		+/–
	Сообщение от april on 21-Фев-07, 21:21
	у меня wbinfo_group.pl зависает на строчке wbinfo -r соотвественно юзерам отлуп FreeBSD 6.2 samba 3.0.23c squid 2.6stable3
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Доступа через SQUID к определенным ресурсам на уровне групп ..."		+/–
	Сообщение от Ruslan (??) on 06-Апр-10, 15:12
	>[оверквотинг удален] >>иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru. >>Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к >>разным acl, но как? >>Помогите пожалуйста! > >acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов > > >http_access allow Internet-Limit allowURLS // група Internet-Limit ходит только по сайтам, заданным >в файле spisok. acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов http_access allow Internet-Limit allowURLS // група Internet-Limit ходит по сайтам, заданным http_access allow Internet-Limit !allowURLS // група Internet-Limit не ходит по сайтам, не заданным вот так работает стабильнее.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Доступа через SQUID к определенным ресурсам на уровне групп ..."		+/–
Сообщение от echo (??) on 24-Янв-07, 12:04
вопрос по текущей задачке, а как вы получили SID группы? у меня wbinfo посылает нафиг с сообщением Could not lookup name inet, при этом SID пользователя отдает исправно ...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Доступа через SQUID к определенным ресурсам на уровне групп ..."		+/–
	Сообщение от Den_Urasov (ok) on 24-Янв-07, 12:15
	>вопрос по текущей задачке, а как вы получили SID группы? у меня >wbinfo посылает нафиг с сообщением Could not lookup name inet, при >этом SID пользователя отдает исправно ... Я узнавал SID группы выполнив следующую команду: wbinfo -n "Internet Access" Получаем, например, такую информацию: S-1-5-21-946522595-3288868333-4157271670-1186 Local Group (4) Это и есть SID нашей группы.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема