Исходное сообщение
"Подскажите по Squid." Отправлено vozd, 12-Окт-06 11:57
>Squid авторизуется в домене 2003, в зависимости от группы в домене в >которую входит пользователь свои ограничения(группа inet_users разрешает доступ ). Сделал группу >для доступа только к одному сайту (http://www.tender.mos.ru/) создал acl....всё работает, то >есть пользователь входящий в группу inet_apt_tender ничего не может открыть кроме >одного сайта, но при открытие этого сайта, IE постоянно запрашивает авторизацию,сам >сайт грузится нормально, подозреваю что этот сайт пытается тянуть еще что >то с других, окошко с авторизацией ужасно раздражает всех, подскажите как >избавится от этого окна? Не хочется выяснять куда лезет еще этот >сайт и делать acl для них :( либо давать полный доступ.... > > >auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="xxx+inet_users" >auth_param ntlm children 10 > >external_acl_type ext_inet_apt_tender %LOGIN /usr/local/libexec/squid/wbinfo_group.pl >acl inet_users proxy_auth REQUIRED >acl s_inet_apt_tender external ext_inet_apt_tender inet_apt_tender >acl tender_apt dst 82.138.62.126 > >http_access allow inet_users s_inet_apt_tender tender_apt >http_access deny s_inet_apt_tender >http_access allow inet_users >http_access deny all Для Сквида весия 2.6 собираешь с опциями - '--enable-auth=ntlm' '--enable-ntlm-auth-helpers=SMB' '--enable-external-acl-helpers=wbinfo_group' Также прийдётся собрать Самбу. Ты используешь хелпер от Сквида, а лучше использовать Самбовский. Поищи в форуме инфу типа Авторизация в Win2k. там будет описано, как правильно авторизироваться и получать группу средствами самба. В конфиге сквида добавишь auth_param ntlm program /usr/local/samba/bin/ntlm_auth \ --helper-protocol=squid-2.5-ntlmssp --require-membership-of="1csrvwProxy_World" auth_param ntlm children 5 auth_param ntlm keep_alive on где 1csrvw - домэн (рабочая группа), Proxy_World - группа, в которую включены пользователи для доступа в нэт. ACL настроить тоже прийдётся, где указать нужно Proxy_World. Проблемы, которые возникают при такой реализации - так как авторизация будет проходить прозрачно, используя протокол ntlm (пользователь залогинился в домэне и получает доступ), то есть при выходе в мир не требуется пароля, то если у тебя даунлоадер не поддерживает этот протокол то и закачать не получится, так как будет всегда вылетать просьба авторизации, а вот средствами броузера - всё отлично. Можешь изменить параметр с --enable-auth=ntlm на --enable-auth=basic, тогда при выхолде в инэт будет спрашиваться пароль доменный один раз и качалка тогда сможет работать нормально, так как происходит процес авторизации ручками.