forum.opennet.ru

Форум Настройка Squid, Tor и прокси серверов (Squid)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

контроль доступа на основании доменных групп, nops (ok), 05-Фев-13, (0) [смотреть все]

Глянь вот эту статейку http macrodmin blogspot ru 2012 07 squid-active-directo, porcha (ok), 08:18 , 05-Фев-13, (1) //

Да, похоже Правила я напишу в сквиде, у меня была проблема только автоматом авт, nops (ok), 12:23 , 05-Фев-13, (2) //

Все просто, пользователь может занимать только одну группу, т к авторизация буд, porcha (ok), 12:45 , 05-Фев-13, (3) //

Немного не понял Вот допустим у пользователя есть несколько групп, в которые он , nops (ok), 08:28 , 06-Фев-13, (4)

Создай в домене отдельные группы непосредственно для интернетов и помести туда с, porcha (ok), 08:59 , 06-Фев-13, (5)

gt оверквотинг удален Да, у меня именно так и сдалено Созданы 3 доп группы I, nops (ok), 07:37 , 07-Фев-13, (6)

Итак Всем доброго здравия Звучал вопрос, в одном из сообщений, как у меня успехи, nops (ok), 07:51 , 08-Фев-13, (7) //

gt оверквотинг удален интересная задумка, вроде все понятно из ващего конфига,, luckyy (ok), 03:35 , 07-Окт-13, (8)

Сообщения [Сортировка по времени | RSS]

7. "контроль доступа на основании доменных групп" +/–

Сообщение от nops (ok), 08-Фев-13, 07:51

Итак!
Всем доброго здравия.
Звучал вопрос, в одном из сообщений, как у меня успехи с моей задачей, вот я готов написать.
Заработало, что я могу сказать.

В Active Directory:
Созданы 3 дополнительные группы:
InetUs - нельзя запрещенные
InetVIP - нельзя запрещенные, кроме небольшого списка разрешенных
InetFull - Можно все.
На FreeBSD сделано следующее:
Ну естественно поднята самба, настроен керберос и конечно же сквид. Описывать полностью конфиги не буду, не к чему, все прекрасно понимают и знают что там написать, а те кто не знают, курите маны или читайте статьи, их полно и все на русском.
В squid.conf были удалены все acl-ы и добавлены следующие:
# Авторизация в домене по NTLM и Basic для тех, что не смог авторизоваться по ntlm, так происходит.
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 150
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
auth_param basic realm DeltaPlans's Squid Beast
auth_param basic credentialsttl 8 hours
auth_param basic casesensitive off
..........
# Описываю acl-ы, комментарии излишни, итак все понятно
acl _acl_Access_Denied url_regex -i "/usr/local/etc/squid/regulations/Access.Denied"
acl _acl_Access_Allow_VIP url_regex -i "/usr/local/etc/squid/regulations/Access.Allow.VIP"
acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams"
# Получаем группы из AD
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
# Описываю acl-ы для групп
acl Full external nt_group InetFull
acl Medium external nt_group InetVIP
acl Low external nt_group InetUs
...........
acl nt_group proxy_auth REQUIRED
...........
# Описываю доступы и запреты групп AD по спискам сайтов
http_access deny Low _acl_Access_Denied
http_access allow Medium _acl_Access_Allow_VIP
http_access deny Medium _acl_Access_Denied
http_access allow Low
http_access allow Medium
http_access allow Full
http_access allow localnet
http_access deny !Safe_ports
...........
Далее все стандартно.
После этого /usr/local/etc/rc.d/squid reload и проверяем, Все работает.

Ответить | Правка | Наверх | Cообщить модератору

8. "контроль доступа на основании доменных групп" +/–

Сообщение от luckyy (ok), 07-Окт-13, 03:35

>[оверквотинг удален]
> http_access allow Medium _acl_Access_Allow_VIP
> http_access deny Medium _acl_Access_Denied
> http_access allow Low
> http_access allow Medium
> http_access allow Full
> http_access allow localnet
> http_access deny !Safe_ports
> ...........
> Далее все стандартно.
> После этого /usr/local/etc/rc.d/squid reload и проверяем, Все работает.
интересная задумка, вроде все понятно из ващего конфига, но не могу понять, в конечной связке есть ли sams ? если нет, то что значит эта строчка
acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams"

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

7. "контроль доступа на основании доменных групп"	+/–
Сообщение от nops (ok), 08-Фев-13, 07:51
Итак! Всем доброго здравия. Звучал вопрос, в одном из сообщений, как у меня успехи с моей задачей, вот я готов написать. Заработало, что я могу сказать. В Active Directory: Созданы 3 дополнительные группы: InetUs - нельзя запрещенные InetVIP - нельзя запрещенные, кроме небольшого списка разрешенных InetFull - Можно все. На FreeBSD сделано следующее: Ну естественно поднята самба, настроен керберос и конечно же сквид. Описывать полностью конфиги не буду, не к чему, все прекрасно понимают и знают что там написать, а те кто не знают, курите маны или читайте статьи, их полно и все на русском. В squid.conf были удалены все acl-ы и добавлены следующие: # Авторизация в домене по NTLM и Basic для тех, что не смог авторизоваться по ntlm, так происходит. auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 150 auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 50 auth_param basic realm DeltaPlans's Squid Beast auth_param basic credentialsttl 8 hours auth_param basic casesensitive off .......... # Описываю acl-ы, комментарии излишни, итак все понятно acl _acl_Access_Denied url_regex -i "/usr/local/etc/squid/regulations/Access.Denied" acl _acl_Access_Allow_VIP url_regex -i "/usr/local/etc/squid/regulations/Access.Allow.VIP" acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams" # Получаем группы из AD external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl # Описываю acl-ы для групп acl Full external nt_group InetFull acl Medium external nt_group InetVIP acl Low external nt_group InetUs ........... acl nt_group proxy_auth REQUIRED ........... # Описываю доступы и запреты групп AD по спискам сайтов http_access deny Low _acl_Access_Denied http_access allow Medium _acl_Access_Allow_VIP http_access deny Medium _acl_Access_Denied http_access allow Low http_access allow Medium http_access allow Full http_access allow localnet http_access deny !Safe_ports ........... Далее все стандартно. После этого /usr/local/etc/rc.d/squid reload и проверяем, Все работает.
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "контроль доступа на основании доменных групп"	+/–
	Сообщение от luckyy (ok), 07-Окт-13, 03:35
	>[оверквотинг удален] > http_access allow Medium _acl_Access_Allow_VIP > http_access deny Medium _acl_Access_Denied > http_access allow Low > http_access allow Medium > http_access allow Full > http_access allow localnet > http_access deny !Safe_ports > ........... > Далее все стандартно. > После этого /usr/local/etc/rc.d/squid reload и проверяем, Все работает. интересная задумка, вроде все понятно из ващего конфига, но не могу понять, в конечной связке есть ли sams ? если нет, то что значит эта строчка acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams"
	Ответить \| Правка \| Наверх \| Cообщить модератору