https://www.opennet.me/openforum/vsluhforumID12/6476.html Всем доброго времени суток!<br><br>Настроил squid на аутентификацию пользователей AD через ntlm. <br>1. Все замечательно работает, в AD есть группы пользователей.<br>2. В качестве редиректора используется squidGuard, в нем определяется приадлежность пользователей группам AD и есть правила доступа к URL.<br><br>Вопрос заключается в следующем: возможно ли настроить squid таким образом, чтобы сначала он проверял, разрешен ли доступ конкретному IP, а затем, если доступа нет требовал доменную аутентификацию? (Соответственно, если доступ по IP есть - разрешить доступ в инет без AD-авторизации, а если явно указан запрет по IP не разрешать выход и не требовать авторизации AD)<br> <br><br><br>Режим работы домена - 2008<br>FreeBSD 8.0-RELEASE<br>squid-3.0.25_2<br>squidGuard-1.4_2<br>samba34-3.4.8<br><br>Настройки прокси:<br>tstprox# egrep -v '^$&#124;^#' /usr/local/etc/squid/squid.conf &#124; more<br>http_port 192.168.0.129:3128<br>maximum_object_size_in_memory 102400<br>hierarchy_stoplist cgi-bin ?<br>acl QUERY urlpath_regex cgi-bin \?<br>cache deny QUERY<br>cach https://www.opennet.me/openforum/vsluhforumID12/6476.html#3 Wed, 30 Oct 2013 11:24:33 GMT &gt;&gt;и что мешает поставить проверку IP выше правил авторизации?<br>&gt;&gt;acl ips src 192.168.0.2 192.168.0.101-192.168.0.200 <br>&gt;&gt;http_access deny all ! ips <br>&gt; Спасибо! Такое исключение адресов из запрета действительно работает как нужно - тачки <br>&gt; из домена можно принудительно закрыть, если задать их в "http_access deny <br>&gt; all ! ips". Если в редиректоре они не помещены в правила, <br>&gt; разрешающие интернет, то попадают в бан по-умолчанию. Если в squidGuard'e разрешить <br>&gt; доступ, то фильтры контента работают.<br>&gt; Без указания машины в "http_access deny all ! ips" прокси просит аутентификации. <br>&gt; Вроде не сложно, а сам не допер. Спасибо еще раз!<br><br>Здравствуйте, не понял:<br>&gt; "Спасибо! Такое исключение адресов из запрета действительно работает как нужно - тачки <br>&gt; из домена можно принудительно закрыть, если задать их в "http_access deny <br>&gt; all ! ips""<br><br>этоже наоборот исключения, прописав тачки в этот acl вы даете им доступ, "запретить все кроме тех кто в этом acl"<br> https://www.opennet.me/openforum/vsluhforumID12/6476.html#2 Fri, 13 Aug 2010 05:13:04 GMT &gt;и что мешает поставить проверку IP выше правил авторизации? <br>&gt;acl ips src 192.168.0.2 192.168.0.101-192.168.0.200 <br>&gt;http_access deny all ! ips <br><br>Спасибо! Такое исключение адресов из запрета действительно работает как нужно - тачки из домена можно принудительно закрыть, если задать их в "http_access deny all ! ips". Если в редиректоре они не помещены в правила, разрешающие интернет, то попадают в бан по-умолчанию. Если в squidGuard'e разрешить доступ, то фильтры контента работают.<br>Без указания машины в "http_access deny all ! ips" прокси просит аутентификации. <br>Вроде не сложно, а сам не допер. Спасибо еще раз!<br> https://www.opennet.me/openforum/vsluhforumID12/6476.html#1 Fri, 13 Aug 2010 03:50:58 GMT и что мешает поставить проверку IP выше правил авторизации?<br>acl ips src 192.168.0.2 192.168.0.101-192.168.0.200<br>http_access deny all ! ips<br>