Проблема с использованием acl типа max_user_ip, Александр, 15-Сен-17, 11:58 [смотреть все]Имеется прокси-сервер (squid 2.7) для порядка 2000 пользователей. Большинству из них разрешен вход только с 1 ip-адреса. Если использовать динамическую привязку ip-адреса к имени пользователя с помощью конструкции вида: acl limit-1 max_user_ip -s 1 acl ip-limit-1 proxy_auth "/путь к списку имен пользователей" http_access deny ip-limit-1 limit-1 то проблем нет, если с этим именем пользователя не пытаются зайти с 2-х компов одновременно. Например, пользователь перешел на новое рабочее место, а на старом компе не удалил сохраненные логин/пароль в броузере. Для разрешения такой ситуации добавлено: external_acl_type BLOCK_USER_IP ... acl BLOCK_USER_IP external BLOCK_USER_IP %SRC %LOGIN http_access deny BLOCK_USER_IP Проблема заключается в следующем - хотя пользователя на старом адресе прокси-сервер и не пускает, но в cache.log появляется запись: 2017/09/15 09:27:49| authenticateAuthUserRequestSetIp: user 'test' has been seen at a new IP address (10.41.77.74) при этом его адрес привязывается к имени, и на новом месте пользователя не пускает: 2017/09/15 10:25:46| authenticateAuthUserRequestSetIp: user 'test' has been seen at a new IP address (10.4.113.253) 2017/09/15 10:25:46| aclMatchUserMaxIP: user 'test' tries to use too many IP addresses (max 1 allowed)!Очевидно, что плюнуть адрес в таблицу squid успевает на этапе proxy_auth. Это реальная проблема, поскольку ночью не работают, все таблицы успевают очиститься, и если первым успевает засветиться неправильный адрес, то у легитимного пользователя не получается авторизоваться. Есть ли какой-то способ решить проблему, кроме недопуска через прокси по ip-адресу без %LOGIN?
|
- Проблема с использованием acl типа max_user_ip, ipmanyak, 14:23 , 18-Сен-17 (1)
> Имеется прокси-сервер (squid 2.7) для порядка 2000 пользователей. Большинству из них разрешен > вход только с 1 ip-адреса.2000 юзеров и нет виндового домена, чтобы привязать сквид к AD ?
- Проблема с использованием acl типа max_user_ip, Александр, 19:03 , 18-Сен-17 (2)
>> Имеется прокси-сервер (squid 2.7) для порядка 2000 пользователей. Большинству из них разрешен >> вход только с 1 ip-адреса. > 2000 юзеров и нет виндового домена, чтобы привязать сквид к AD ? Попытки внедрения Актив Директори были, но, к счастью, они закончились на начальном этапе после того, как серверы АД были взломаны и удалены все данные. Я работаю на укр. ЖД, там свои ньюансы. Походу есть только 1 вариант решения моей проблемы - изменять по согласованию с легитимным пользователем пароль, и тогда все остальные идут лесом.
|