The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от Makc emailИскать по авторуВ закладки on 30-Окт-03, 17:53  (MSK)
Бьюсь уже месяц, но так и не получилось.Проблема в том, что у меня настроина авторизация через SQUID, а юзера по доброте своей дают логины и пароли.И получается, что все могут ходить через один логин. Как мне РАЗРЕШИТЬ ходить только ОДНОМУ!!! юзеру через его логин в данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ ПРОЧИТАТЬ?????
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от ipmanyak Искать по авторуВ закладки on 31-Окт-03, 07:04  (MSK)
>Бьюсь уже месяц, но так и не получилось.Проблема в том, что у
>меня настроина авторизация через SQUID, а юзера по доброте своей дают
>логины и пароли.И получается, что все могут ходить через один логин.
>Как мне РАЗРЕШИТЬ ходить только ОДНОМУ!!! юзеру через его логин в
>данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ
>ПРОЧИТАТЬ?????
самое действенное зарубить те логины на недельку и провести воспитаттельную работу  или  доложить начальству вплоть до лишения премий и так далее.  Как вариант не делать авторизацию, а делать доступ по ip, но если на машине несколько пользователей, то конечно не покатит.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от viewn Искать по авторуВ закладки on 31-Окт-03, 13:04  (MSK)
Да ужжж...

Проблема стара как мир. Обсасывается с завидным постоянством и естественно принципиального решения не имеет.
Кроме пожалуй одного. И единственно правильного (неИМХО).

Нужно (всего навсего) сделать этот процесс (приема/передачи логинов/паролей etc.) НЕВЫГОДНЫМ!

Только не спрашивайте меня КАК это сделать.
Тут вам и карты в руки. Включайте фантазию.
В общем: Твори. Выдумывай. Пробуй!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от netfrog emailИскать по авторуВ закладки on 31-Окт-03, 14:04  (MSK)
ходить только ОДНОМУ!!! юзеру через его логин в
>данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ
>ПРОЧИТАТЬ?????

Ну если аутентификация по логину то в squid.conf можно прописать:

authenticate_ip_ttl 0

что не позволит с нескольких мест пользоваться одним логином, но ИМХО карательные меры эффективнее :D

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от mplane emailИскать по авторуВ закладки on 03-Ноя-03, 18:43  (MSK)
>ходить только ОДНОМУ!!! юзеру через его логин в
>>данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ
>>ПРОЧИТАТЬ?????
>
>Ну если аутентификация по логину то в squid.conf можно прописать:
>
>authenticate_ip_ttl 0
>
>что не позволит с нескольких мест пользоваться одним логином, но ИМХО карательные
>меры эффективнее :D

Сори дорогой, но оно так и пускает как пускало....

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от Alexander S. Efimov emailИскать по авторуВ закладки on 06-Ноя-03, 10:35  (MSK)
>>Ну если аутентификация по логину то в squid.conf можно прописать:
>>
authenticate_ip_ttl 0
только не 0 (The default is 0 to disable the check.), а например 300.  так же выставить
authenticate_ip_ttl_is_strict on
#       This option makes authenticate_ip_ttl a bit stricted. With this
#       enabled authenticate_ip_ttl will deny all access from other IP
#       addresses until the TTL has expired, and the IP address "owning"
#       the userid will not be forced to reauthenticate.

тогда в течении 5 минут с других машин по этим логином никто не зайдет. более правильное время придумай сам, исходя из того, как часто юзеры бегают с одной машины на другую.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от _Wolf_ Искать по авторуВ закладки on 05-Ноя-03, 09:37  (MSK)
>Бьюсь уже месяц, но так и не получилось.Проблема в том, что у
>меня настроина авторизация через SQUID, а юзера по доброте своей дают
>логины и пароли.И получается, что все могут ходить через один логин.
>Как мне РАЗРЕШИТЬ ходить только ОДНОМУ!!! юзеру через его логин в
>данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ
>ПРОЧИТАТЬ?????


Могу предложить привязать ip к mac адресу (iptables), а login squida к ip адресу - тогда каждый эзер может ходить в инет с одного ip адреса, а адреса они менять не смогут!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от Arioch Искать по авторуВ закладки on 05-Ноя-03, 11:11  (MSK)
У меня это решается достаточно просто: в сквиде стоит привязка login к ip, причем смена ip отлавливается через arpwatch.
iptables, привязка к маку не используется дабы лишний раз проксяк не напрягать.
а так - если видишь что какой-то хохмач меняет адрес - сразу получает по ушам и больше так не делает (как правило).

arpwatch понятно стоит на другой машине =)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от mplane emailИскать по авторуВ закладки on 06-Ноя-03, 09:59  (MSK)
>У меня это решается достаточно просто: в сквиде стоит привязка login к
>ip, причем смена ip отлавливается через arpwatch.
>iptables, привязка к маку не используется дабы лишний раз проксяк не напрягать.
>
>а так - если видишь что какой-то хохмач меняет адрес - сразу
>получает по ушам и больше так не делает (как правило).
>
>arpwatch понятно стоит на другой машине =)
Но, мне такое бы подошло с 10ю, ну 50 машинами!!! А у меня их 300 :((( И DHCP настроено... И Что я скажу юзеру если ему стукнет с другой машины в инет лезть.... ХЕЛП...ХЕЛП....ППП,.п.пппппп

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от hvostik emailИскать по авторуВ закладки on 07-Ноя-03, 01:19  (MSK)
>Но, мне такое бы подошло с 10ю, ну 50 машинами!!! А у
>меня их 300 :((( И DHCP настроено... И Что я скажу
>юзеру если ему стукнет с другой машины в инет лезть.... ХЕЛП...ХЕЛП....ППП,.п.пппппп
>
У меня это проблема решилась сама собой, после перевода squid-а на авторизацию по NTLM. Так как политика в домене NT разрешает только один заход пользователя в домен, то соответственно и сквид он может пользовать только с одного компа и под своим NT-евым аккаунтом. Все таки NTLM-ые хэши пользователи друг другу передавать вряд ли будут ;)))

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от junior emailИскать по авторуВ закладки on 07-Ноя-03, 11:55  (MSK)
>Но, мне такое бы подошло с 10ю, ну 50 машинами!!! А у
>меня их 300 :((( И DHCP настроено... И Что я скажу
>юзеру если ему стукнет с другой машины в инет лезть.... ХЕЛП...ХЕЛП....ППП,.п.пппппп

А зачем вообще задействовать IP-аутентификацию. Сразу делай допуск по MAC-адресу. Ну и пароли там роздай, изменения по аппаратным адресам отслеживай arpwatch-ем, как и советовали, он тебе письмо пришлёт ежели что поменялось в сети. сразу смотришь какой логин на этот адрес выдан и отключаешь его от инета :))) Не хочешь сам делать - скрипт напиши, но пока оттестируешь - ошибки будут - бить будут :))) Зато потом - ляпота..))
У меня раньше пробовали ставить на локальных тачках пробрасывающие мини-прокси, чтобы кому по времени запрещено мог в инет лазить. Всё отрубается при авторизации..))
Так что вывод: MAC+PASSWORD+ARPWATCH+IPTABLES работает всё при грамотной настройке. У меня и время допуска регулируется и ограничение на порнуху редиректором стоит. Правда доступ по времени я теперь iptables регулирую, так же как и соответствие MAC+IP, а ещё ограничение на количество соединений с одного адреса, величину скачивемого файла, скорость.
Тут твоя фантазия только тебя сможет остановить :))))
Для пользователя хуже - если она извращённой окажется :))) Шутка.))
Удачного дня и с праздником, млин!!!


  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от mplane emailИскать по авторуВ закладки on 07-Ноя-03, 20:26  (MSK)
>>Но, мне такое бы подошло с 10ю, ну 50 машинами!!! А у
>>меня их 300 :((( И DHCP настроено... И Что я скажу
>>юзеру если ему стукнет с другой машины в инет лезть.... ХЕЛП...ХЕЛП....ППП,.п.пппппп
>
>А зачем вообще задействовать IP-аутентификацию. Сразу делай допуск по MAC-адресу. Ну и
>пароли там роздай, изменения по аппаратным адресам отслеживай arpwatch-ем, как и
>советовали, он тебе письмо пришлёт ежели что поменялось в сети. сразу
>смотришь какой логин на этот адрес выдан и отключаешь его от
>инета :))) Не хочешь сам делать - скрипт напиши, но пока
>оттестируешь - ошибки будут - бить будут :))) Зато потом -
>ляпота..))
>У меня раньше пробовали ставить на локальных тачках пробрасывающие мини-прокси, чтобы кому
>по времени запрещено мог в инет лазить. Всё отрубается при авторизации..))
>
>Так что вывод: MAC+PASSWORD+ARPWATCH+IPTABLES работает всё при грамотной настройке. У меня и
>время допуска регулируется и ограничение на порнуху редиректором стоит. Правда доступ
>по времени я теперь iptables регулирую, так же как и соответствие
>MAC+IP, а ещё ограничение на количество соединений с одного адреса, величину
>скачивемого файла, скорость.
>Тут твоя фантазия только тебя сможет остановить :))))
>Для пользователя хуже - если она извращённой окажется :))) Шутка.))
>Удачного дня и с праздником, млин!!!

Ну, спасибо.... По времени и SQUID замечательно регулирует.... Не MAC и IP отпадает!!! Здача не в том что бы с определённого IP или MAC адреса только можно войти... А в том что ьы юзера не могли с двух тачек под одним ЛОГИНОМ в инет идти...Так что я не вижу решения в твоём совете... Я бы тогда мог бы конкретный IP пускать в инет, сделав при этом IP POOL который не меняется- статический...О!
ЧТО МНЕ ЕЩЁ СДЕЛАТЬ???? ААААААААААААААААААААААААА???????????ПОМОГИТЕ!!!!!!!!!!!!!!!!!!!!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от junior emailИскать по авторуВ закладки on 07-Ноя-03, 20:46  (MSK)
>Ну, спасибо.... По времени и SQUID замечательно регулирует.... Не MAC и IP
>отпадает!!! Здача не в том что бы с определённого IP или
>MAC адреса только можно войти... А в том что ьы юзера
>не могли с двух тачек под одним ЛОГИНОМ в инет идти...Так
>что я не вижу решения в твоём совете... Я бы тогда
>мог бы конкретный IP пускать в инет, сделав при этом IP
>POOL который не меняется- статический...О!
>ЧТО МНЕ ЕЩЁ СДЕЛАТЬ???? ААААААААААААААААААААААААА???????????ПОМОГИТЕ!!!!!!!!!!!!!!!!!!!!

Во-первых не паникуй.))
Во-вторых - ты внимательно читать умеешь?
Привязка логина к определённому MAC-адресу НЕ ДАСТ ПОД ТЕМ ЖЕ ЛОГИНОМ ЗАЙТИ С ДРУГОГО!!!
Доступно?
Удачного дня.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от junior emailИскать по авторуВ закладки on 07-Ноя-03, 20:52  (MSK)
В догонку.
Всё это ОПРОБОВАНО у меня в сети. Всё это делается средствами SQUID-а, раз он тебе так дорог. Ни один пользователь в моей сетке НЕ СМОЖЕТ зайти с другого компа под СВОИМ даже логином, а любое ихменение аппаратного адреса сразу будет отмечено arpwatch и послано сообщение мне в почтуовый ящик. Можно на основании этих изменений написать скрипт или демон, который будет банить проштрафившийся адрес.
Удачного дня.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от mplane emailИскать по авторуВ закладки on 10-Ноя-03, 10:27  (MSK)
>В догонку.
>Всё это ОПРОБОВАНО у меня в сети. Всё это делается средствами SQUID-а,
>раз он тебе так дорог. Ни один пользователь в моей сетке
>НЕ СМОЖЕТ зайти с другого компа под СВОИМ даже логином, а
>любое ихменение аппаратного адреса сразу будет отмечено arpwatch и послано сообщение
>мне в почтуовый ящик. Можно на основании этих изменений написать скрипт
>или демон, который будет банить проштрафившийся адрес.
>Удачного дня.


Дамс.....Действительно может и помоч....Но я как это бы сказать....Ещё маааленький и не всё умею.... Мона мне маааленький огонёк (примерчик MAC+LOGIN)для моего дальшого развития в нужном направлении ...Пожайлуста...
Спасибо за Ваше терпение.....

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от junior emailИскать по авторуВ закладки on 10-Ноя-03, 11:35  (MSK)
>Дамс.....Действительно может и помоч....Но я как это бы сказать....Ещё маааленький и не
>всё умею.... Мона мне маааленький огонёк (примерчик MAC+LOGIN)для моего дальшого развития
>в нужном направлении ...Пожайлуста...
Можно.
#----cut----#
acl all 0.0.0.0/0.0.0.0

acl mac_user1 mac 00:00:00:00:00:01
acl mac_user2 mac 00:00:00:00:00:02
acl mac_user3 mac 00:00:00:00:00:03

acl pass_user1 proxy_auth user1
acl pass_user2 proxy_auth user2
acl pass_user3 proxy_auth user3

http_access allow mac_user1 pass_user1
http_access allow mac_user2 pass_user2
http_access allow mac_user3 pass_user3
http_access deny all

http_reply_access allow mac_user1
http_reply_access allow mac_user2
http_reply_access allow mac_user3
http_reply_access deny all

icp_access allow mac_user1 pass_user1
icp_access allow mac_user2 pass_user2
icp_access allow mac_user3 pass_user3
icp_access deny all

miss_access allow mac_user1
miss_access allow mac_user2
miss_access allow mac_user3
miss_access deny all

#-------cut--------#

Не забудь, что SQUID нужно откомпилировать с поддержкой arp-acl
--enable-arp-acl
Ну и поддержка твоих методов аутентификации соответственно.

Узанать, с какими опциями у тебя собран SQUID можно командой
# squid -v

>Спасибо за Ваше терпение.....
На здоровье. Просто паника - последнее дело, особенно при отладке программ. Тут же как в X-Files - "Истина где-то рядом" ;-))))

Удачного дня!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от mplane emailИскать по авторуВ закладки on 11-Ноя-03, 10:19  (MSK)
>>Дамс.....Действительно может и помоч....Но я как это бы сказать....Ещё маааленький и не
>>всё умею.... Мона мне маааленький огонёк (примерчик MAC+LOGIN)для моего дальшого развития
>>в нужном направлении ...Пожайлуста...
>Можно.
>#----cut----#
>acl all 0.0.0.0/0.0.0.0
>
>acl mac_user1 mac 00:00:00:00:00:01
>acl mac_user2 mac 00:00:00:00:00:02
>acl mac_user3 mac 00:00:00:00:00:03
>
>acl pass_user1 proxy_auth user1
>acl pass_user2 proxy_auth user2
>acl pass_user3 proxy_auth user3
>
>http_access allow mac_user1 pass_user1
>http_access allow mac_user2 pass_user2
>http_access allow mac_user3 pass_user3
>http_access deny all
>
>http_reply_access allow mac_user1
>http_reply_access allow mac_user2
>http_reply_access allow mac_user3
>http_reply_access deny all
>
>icp_access allow mac_user1 pass_user1
>icp_access allow mac_user2 pass_user2
>icp_access allow mac_user3 pass_user3
>icp_access deny all
>
>miss_access allow mac_user1
>miss_access allow mac_user2
>miss_access allow mac_user3
>miss_access deny all
>
>#-------cut--------#
>
>Не забудь, что SQUID нужно откомпилировать с поддержкой arp-acl
>--enable-arp-acl
>Ну и поддержка твоих методов аутентификации соответственно.
>
>Узанать, с какими опциями у тебя собран SQUID можно командой
># squid -v
>
>>Спасибо за Ваше терпение.....
>На здоровье. Просто паника - последнее дело, особенно при отладке программ. Тут
>же как в X-Files - "Истина где-то рядом" ;-))))
>
>Удачного дня!
Спасибо Вам за ответ...Но у меня тут глупые вопросы есть....
1. acl mac_user1 mac 00:00:00:00:00:01
   acl pass_user1 proxy_auth user1
   http_access allow mac_user1 pass_user1
        ................. - это мне нужно столько ACL сколько у меня в сетки машин???? Т.е. у меня таких строк должно быть примерно 300 шт.??? Или тут описано разрешение на одновременный вход в инет с 3х машин?Можно тут подробнее.....Пожайлуста...
2.при вводе опции squid -v Мне рисует....- Version 2.4.STABLE6
  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от junior emailИскать по авторуВ закладки on 11-Ноя-03, 10:31  (MSK)
>Спасибо Вам за ответ...Но у меня тут глупые вопросы есть....
>1. acl mac_user1 mac 00:00:00:00:00:01
>   acl pass_user1 proxy_auth user1
>   http_access allow mac_user1 pass_user1
>        ................. - это мне
>нужно столько ACL сколько у меня в сетки машин???? Т.е. у
>меня таких строк должно быть примерно 300 шт.??? Или тут описано
>разрешение на одновременный вход в инет с 3х машин?Можно тут подробнее.....Пожайлуста...
Нет, это описано для одной машины.
Тебе прийдётся прописать их все. Такова иногда тяжкая рутина администратора.
>2.при вводе опции squid -v Мне рисует....- Version 2.4.STABLE6
Не squid -V , а squid -v - это 2 разницы :))
Удачного дня.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру