URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7301
[ Назад ]

Исходное сообщение
"Проблема с использованием acl типа max_user_ip"
Отправлено Александр , 15-Сен-17 11:58

Имеется прокси-сервер (squid 2.7) для порядка 2000 пользователей. Большинству из них разрешен вход только с 1 ip-адреса.
Если использовать динамическую привязку ip-адреса к имени пользователя с помощью конструкции вида:
acl limit-1 max_user_ip -s 1
acl ip-limit-1 proxy_auth "/путь к списку имен пользователей"
http_access deny ip-limit-1 limit-1
то проблем нет, если с этим именем пользователя не пытаются зайти с 2-х компов одновременно. Например, пользователь перешел на новое рабочее место, а на старом компе не удалил сохраненные логин/пароль в броузере. Для разрешения такой ситуации добавлено:
external_acl_type BLOCK_USER_IP ...
acl BLOCK_USER_IP external BLOCK_USER_IP %SRC %LOGIN
http_access deny BLOCK_USER_IP
Проблема заключается в следующем - хотя пользователя на старом адресе прокси-сервер и не пускает, но в cache.log появляется запись:
2017/09/15 09:27:49| authenticateAuthUserRequestSetIp: user 'test' has been seen at a new IP address (10.41.77.74)
при этом его адрес привязывается к имени, и на новом месте пользователя не пускает:
2017/09/15 10:25:46| authenticateAuthUserRequestSetIp: user 'test' has been seen at a new IP address (10.4.113.253)
2017/09/15 10:25:46| aclMatchUserMaxIP: user 'test' tries to use too many IP addresses (max 1 allowed)!
Очевидно, что плюнуть адрес в таблицу squid успевает на этапе proxy_auth. Это реальная проблема, поскольку ночью не работают, все таблицы успевают очиститься, и если первым успевает засветиться неправильный адрес, то у легитимного пользователя не получается авторизоваться. Есть ли какой-то способ решить проблему, кроме недопуска через прокси по ip-адресу без %LOGIN?

Содержание

Проблема с использованием acl типа max_user_ip,ipmanyak, 14:23 , 18-Сен-17
- Проблема с использованием acl типа max_user_ip,Александр, 19:03 , 18-Сен-17

Сообщения в этом обсуждении

"Проблема с использованием acl типа max_user_ip"
Отправлено ipmanyak , 18-Сен-17 14:23

> Имеется прокси-сервер (squid 2.7) для порядка 2000 пользователей. Большинству из них разрешен
> вход только с 1 ip-адреса.
2000 юзеров и нет виндового домена, чтобы привязать сквид к AD ?

"Проблема с использованием acl типа max_user_ip"
Отправлено Александр , 18-Сен-17 19:03

>> Имеется прокси-сервер (squid 2.7) для порядка 2000 пользователей. Большинству из них разрешен
>> вход только с 1 ip-адреса.
> 2000 юзеров и нет виндового домена, чтобы привязать сквид к AD ?
Попытки внедрения Актив Директори были, но, к счастью, они закончились на начальном этапе после того, как серверы АД были взломаны и удалены все данные. Я работаю на укр. ЖД, там свои ньюансы.
Походу есть только 1 вариант решения моей проблемы - изменять по согласованию с легитимным пользователем пароль, и тогда все остальные идут лесом.