URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4453
[ Назад ]

Исходное сообщение
"ntlm+userlist"

Отправлено Septima , 26-Окт-06 16:56 
Есть squid с ntlm авторизацией в домене. Очень надо еще прописать различные ACL-и в зависимости от логина пользователя. Что-то никак не могу придумать как. Привязать к IP можно, но лучше будет, если к имени пользователя.

Содержание

Сообщения в этом обсуждении
"ntlm+userlist"
Отправлено reset , 27-Окт-06 15:53 
Все решается просто

acl users proxy_auth REQUIRED
acl user_inet proxy_auth "c:\squid\InetUsers"

http_access allow users user_inet


в файле прописываешь юзверей которым доступен инет

vlg\user1
vlg\user2


"ntlm+userlist"
Отправлено Septima , 30-Окт-06 11:49 
>Все решается просто
>
>acl users proxy_auth REQUIRED
>acl user_inet proxy_auth "c:\squid\InetUsers"
>
>http_access allow users user_inet
>
>
>в файле прописываешь юзверей которым доступен инет
>
>vlg\user1
>vlg\user2

Немного не то. Еще раз - нужно прописать различные дополниетельные _ACL-и_ в зависимости от логина пользователя. А не просто авторизация народа из файла.


"ntlm+userlist"
Отправлено dsl , 30-Окт-06 13:14 
>>Все решается просто
>>
>>acl users proxy_auth REQUIRED
>>acl user_inet proxy_auth "c:\squid\InetUsers"
>>
>>http_access allow users user_inet
>>
>>
>>в файле прописываешь юзверей которым доступен инет
>>
>>vlg\user1
>>vlg\user2
>
>Немного не то. Еще раз - нужно прописать различные дополниетельные _ACL-и_ в
>зависимости от логина пользователя. А не просто авторизация народа из файла.
>

вдумчиво читаем:
1. чтобы получить логин надо авторизоваться
2. после авторизации ты получаешь логин для обработки через ext_acl типа LOGIN
3. прописывай любые дополнительные acl


"ntlm+userlist"
Отправлено Потап , 09-Ноя-06 09:17 
>>>Все решается просто
>>>
>>>acl users proxy_auth REQUIRED
>>>acl user_inet proxy_auth "c:\squid\InetUsers"
>>>
>>>http_access allow users user_inet
>>>
>>>
>>>в файле прописываешь юзверей которым доступен инет
>>>
>>>vlg\user1
>>>vlg\user2
>>
>>Немного не то. Еще раз - нужно прописать различные дополниетельные _ACL-и_ в
>>зависимости от логина пользователя. А не просто авторизация народа из файла.
>>
>
>вдумчиво читаем:
>1. чтобы получить логин надо авторизоваться
>2. после авторизации ты получаешь логин для обработки через ext_acl типа LOGIN
>
>3. прописывай любые дополнительные acl

Никак не получается.
1. Авторизация в домене проходит
2. Как получить логин для дальнейшей обработки не пойму?
external_acl_type ul1 %LOGIN "c:/squid/etc/level1.txt"
содержание level1.txt
nzhs\asu4
затем пробую прописать acl
acl user external ul1
ругается и не работает


"ntlm+userlist"
Отправлено dsl , 09-Ноя-06 09:25 
>>>>Все решается просто
>>>>
>>>>acl users proxy_auth REQUIRED
>>>>acl user_inet proxy_auth "c:\squid\InetUsers"
>>>>
>>>>http_access allow users user_inet
>>>>
>>>>
>>>>в файле прописываешь юзверей которым доступен инет
>>>>
>>>>vlg\user1
>>>>vlg\user2
>>>
>>>Немного не то. Еще раз - нужно прописать различные дополниетельные _ACL-и_ в
>>>зависимости от логина пользователя. А не просто авторизация народа из файла.
>>>
>>
>>вдумчиво читаем:
>>1. чтобы получить логин надо авторизоваться
>>2. после авторизации ты получаешь логин для обработки через ext_acl типа LOGIN
>>
>>3. прописывай любые дополнительные acl
>
>Никак не получается.
>1. Авторизация в домене проходит
>2. Как получить логин для дальнейшей обработки не пойму?
>external_acl_type ul1 %LOGIN "c:/squid/etc/level1.txt"
>содержание level1.txt
>nzhs\asu4
>затем пробую прописать acl
>acl user external ul1
>ругается и не работает

external_acl_type это не файл со списком!
это скрипт который на свой stdin получает строку (тот же логин) и на stdout выдает OK  или ERR в зависимости от условий.
в примере выше юзеры могут быть без домена.


"ntlm+userlist"
Отправлено dsl , 09-Ноя-06 09:27 
>external_acl_type это не файл со списком!
>это скрипт который на свой stdin получает строку (тот же логин) и
>на stdout выдает OK  или ERR в зависимости от условий.
>
>в примере выше юзеры могут быть без домена.

так же external_acl_type можно настраивать на различные группы, и получаем различные ACL с которыми можно анипулировать.
к примеру у меня группы в LDAP, твои могут быть как группы unix, windows, либо как список в файле.


"ntlm+userlist"
Отправлено Потап , 09-Ноя-06 11:24 
>>external_acl_type это не файл со списком!
>>это скрипт который на свой stdin получает строку (тот же логин) и
>>на stdout выдает OK  или ERR в зависимости от условий.
>>
>>в примере выше юзеры могут быть без домена.
>
>так же external_acl_type можно настраивать на различные группы, и получаем различные ACL
>с которыми можно анипулировать.
>к примеру у меня группы в LDAP, твои могут быть как группы
>unix, windows, либо как список в файле.

У меня squidNT
Настроена авторизация в домене. Она работает.
Сделано так:
#---Авторизация в домене NZHS
auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate on

# Проверка авторизации
acl pass_users    proxy_auth REQUIRED

http_access allow pass_users

Это работатет. Но мне нужно выпускать не всех кто автризовался в домене. А пользователей с определенными именами. В перспективе всех пользователей нужно разбить на 3 группы чтобы предоставить различный уровень доступа к инету. ВЫ этом то и загвоздка.
Есть в дистрибутиве внешний хелпер win32_check_group.exe работающий через external_acl_type и проверяющий принадлежность пользователя к определенной группе. Но он почему то не работает. Выдает ошибку win32_check_group.exe NetServerGetInfo() failed

Пытаюсь найти альтернативные пути. В принципе могу перечислить все имена в текстовом файле (в трех разных тиекстовых файлах level1.txt, level2.txt, level3.txt) содержание файла
nzhs\asu4
nzhs\asu3
и т.д.

Никак не могу прописать acl который бы учитывал что пользователь авторизован и в то же время его имя есть в файле level1.txt

Пробовал всякие варианты. ХелП ПЛИЗ!


"ntlm+userlist"
Отправлено Потап , 09-Ноя-06 11:26 
>>external_acl_type это не файл со списком!
>>это скрипт который на свой stdin получает строку (тот же логин) и
>>на stdout выдает OK  или ERR в зависимости от условий.
>>
>>в примере выше юзеры могут быть без домена.
>
>так же external_acl_type можно настраивать на различные группы, и получаем различные ACL
>с которыми можно анипулировать.
>к примеру у меня группы в LDAP, твои могут быть как группы
>unix, windows, либо как список в файле.

А как их настроить на список в файле?


"ntlm+userlist"
Отправлено Потап , 09-Ноя-06 09:19 
>Все решается просто
>
>acl users proxy_auth REQUIRED
>acl user_inet proxy_auth "c:\squid\InetUsers"
>
>http_access allow users user_inet
>
>
>в файле прописываешь юзверей которым доступен инет
>
>vlg\user1
>vlg\user2


У меня такая конструкция почему-то нифига не работает
В чем проблема не пойму...