forum.opennet.ru - "squid + авторизация по группам в домене Win2003" (1)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"squid + авторизация по группам в домене Win2003"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"squid + авторизация по группам в домене Win2003"
Сообщение от Mr.3S (ok) on 14-Янв-09, 15:15
Приветствую.. появилась небольшая проблемка после реализации задачи: надо было поставить сквид с самбой что бы виндовые юзвери могли через сквид гулять по интернету, но лишь те кто находиться в нужной группе. реализовал с помощь самбы и сквида, все работает как часики, все путем. но вот вспомнил что те кто не может идти в инет через сквид, должен все таки иметь доступ к локальным и одному внешнему сайту... а вот это уже не получаеться..: система freebsd 7 squid 2.7 конфиг сквида: vmsrvfreebsd# cat /usr/local/etc/squid/squid.conf auth_param ntlm program /usr/local/bin/ntlm_auth \ --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 30 auth_param basic program /usr/local/bin/ntlm_auth \ --helper-protocol=squid-2.5-basic auth_param basic children 4 auth_param basic realm Proxy-caching web server auth_param basic credentialsttl 2 hours acl all src 10.0.20.0/255.255.255.0 external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl acl allowinternetaccess external nt_group allowinternetaccess acl GSC01 proxy_auth REQUIRED acl SSL_ports port 443 563 acl SSL_for_client_banks port 910 8443 4500 acl safe_ports port 80 # http acl safe_ports port 21 # ftp acl safe_ports port 443 # ssl acl ICQ_ports port 5190 # ICQ acl CONNECT method CONNECT acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl deny_msn dstdomain "/usr/local/etc/squid/db/deny_msn.txt" acl localsites dstdomain "/usr/local/etc/squid/db/allow_sites.txt" acl SNMP snmp_community squidmrtg snmp_port 3401 acl myhost src 10.0.20.38/255.255.255.255 snmp_access allow SNMP myhost snmp_access deny all deny_info ERR_DENY_DOMAINS deny_msn http_access allow manager localhost http_access deny manager http_access allow allowinternetaccess all http_access deny deny_msn http_access allow localsites all deny_info ERR_INET_NO_ALLOW all http_access deny all acl manager proto cache_object acl webserver src 10.0.20.38/255.255.255.255 http_access allow manager webserver http_access deny manager #acl all src all acl manager proto cache_object acl to_localhost dst 127.0.0.0/8 acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localnet http_access deny all icp_access allow localnet icp_access deny all http_port 8080 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_mem 1024 MB cache_dir ufs /var/log/squid/cache 50000 64 512 access_log /var/log/squid/access.log squid cache_log /var/log/squid/cache.log cache_store_log none pid_filename /var/run/squid/squid.pid ftp_user Squid@ ftp_list_width 32 ftp_passive on ftp_sanitycheck on ftp_telnet_protocol on refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/\|\?) 0 0% 0 refresh_pattern . 0 20% 4320 acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9] upgrade_http0.9 deny shoutcast acl apache rep_header Server ^Apache broken_vary_encoding allow apache cache_mgr pavel.bondar@be.dsv.com error_directory /usr/local/etc/squid/errors/English hosts_file /etc/hosts append_domain .gsc01.local coredump_dir /usr/local/squid/cache из конфига видно что юзеры из группы qllowinternetaccess имеют доступ к инету, однако все остальные должны иметь доступ к сайтам перечислиенным в acl localsites dstdomain \ "/usr/local/etc/squid/db/allow_sites.txt" ... вот только не работает )) если ты не в группе allowinternetaccess то и ходить никуда не можешь.. понимаю что ошбика глупая но найти не могу.. от того и оброщаюсь с вопросом. Более того.. сегодня поменялся пароль доменного админа, сделал для прокси отдельного доменного админ юзера и.. теперь даже если пользователь в группе allowinternetacces то все равно не имеет доступа в интернет.. в лог валиться 3 строчки: 1231934803.420 0 10.0.25.50 TCP_DENIED/407 1798 GET http://www.msn.com/? - NONE/- text/html 1231934803.423 1 10.0.25.50 TCP_DENIED/407 2018 GET http://www.msn.com/? - NONE/- text/html 1231934803.890 466 10.0.25.50 TCP_DENIED/403 1382 GET http://www.msn.com/? pbonda DIRECT/65.54.152.126 text/html где pbonda мой юзер (в группе allowinternetaccess)..
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

squid + авторизация по группам в домене Win2003, anonim, 22:35 , 14-Янв-09, (1)

Сообщения по теме [Сортировка по времени | RSS]

1. "squid + авторизация по группам в домене Win2003"

Сообщение от anonim on 14-Янв-09, 22:35

Применение Правил поменяй местами
http_access allow localsites
и только потом
http_access allow allowinternetaccess all

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру