форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от Makc on 30-Окт-03, 17:53  (MSK)
Бьюсь уже месяц, но так и не получилось.Проблема в том, что у меня настроина авторизация через SQUID, а юзера по доброте своей дают логины и пароли.И получается, что все могут ходить через один логин. Как мне РАЗРЕШИТЬ ходить только ОДНОМУ!!! юзеру через его логин в данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ ПРОЧИТАТЬ?????
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от ipmanyak on 31-Окт-03, 07:04  (MSK)
>Бьюсь уже месяц, но так и не получилось.Проблема в том, что у >меня настроина авторизация через SQUID, а юзера по доброте своей дают >логины и пароли.И получается, что все могут ходить через один логин. >Как мне РАЗРЕШИТЬ ходить только ОДНОМУ!!! юзеру через его логин в >данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ >ПРОЧИТАТЬ????? самое действенное зарубить те логины на недельку и провести воспитаттельную работу  или  доложить начальству вплоть до лишения премий и так далее.  Как вариант не делать авторизацию, а делать доступ по ip, но если на машине несколько пользователей, то конечно не покатит.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от viewn on 31-Окт-03, 13:04  (MSK)
Да ужжж... Проблема стара как мир. Обсасывается с завидным постоянством и естественно принципиального решения не имеет. Кроме пожалуй одного. И единственно правильного (неИМХО). Нужно (всего навсего) сделать этот процесс (приема/передачи логинов/паролей etc.) НЕВЫГОДНЫМ! Только не спрашивайте меня КАК это сделать. Тут вам и карты в руки. Включайте фантазию. В общем: Твори. Выдумывай. Пробуй!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от netfrog on 31-Окт-03, 14:04  (MSK)
ходить только ОДНОМУ!!! юзеру через его логин в >данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ >ПРОЧИТАТЬ????? Ну если аутентификация по логину то в squid.conf можно прописать: authenticate_ip_ttl 0 что не позволит с нескольких мест пользоваться одним логином, но ИМХО карательные меры эффективнее :D
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
	Сообщение от mplane on 03-Ноя-03, 18:43  (MSK)
	>ходить только ОДНОМУ!!! юзеру через его логин в >>данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ >>ПРОЧИТАТЬ????? > >Ну если аутентификация по логину то в squid.conf можно прописать: > >authenticate_ip_ttl 0 > >что не позволит с нескольких мест пользоваться одним логином, но ИМХО карательные >меры эффективнее :D Сори дорогой, но оно так и пускает как пускало....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
	Сообщение от Alexander S. Efimov on 06-Ноя-03, 10:35  (MSK)
	>>Ну если аутентификация по логину то в squid.conf можно прописать: >> authenticate_ip_ttl 0 только не 0 (The default is 0 to disable the check.), а например 300.  так же выставить authenticate_ip_ttl_is_strict on #       This option makes authenticate_ip_ttl a bit stricted. With this #       enabled authenticate_ip_ttl will deny all access from other IP #       addresses until the TTL has expired, and the IP address "owning" #       the userid will not be forced to reauthenticate. тогда в течении 5 минут с других машин по этим логином никто не зайдет. более правильное время придумай сам, исходя из того, как часто юзеры бегают с одной машины на другую.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
Сообщение от _Wolf_ on 05-Ноя-03, 09:37  (MSK)
>Бьюсь уже месяц, но так и не получилось.Проблема в том, что у >меня настроина авторизация через SQUID, а юзера по доброте своей дают >логины и пароли.И получается, что все могут ходить через один логин. >Как мне РАЗРЕШИТЬ ходить только ОДНОМУ!!! юзеру через его логин в >данный момент,а другим ЗАПРЕТИТЬ. ????? ПОМОГИТЕ МНЕ КТО МОЖЕТ!!! ИЛИ ГДЕ >ПРОЧИТАТЬ????? Могу предложить привязать ip к mac адресу (iptables), а login squida к ip адресу - тогда каждый эзер может ходить в инет с одного ip адреса, а адреса они менять не смогут!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
	Сообщение от Arioch on 05-Ноя-03, 11:11  (MSK)
	У меня это решается достаточно просто: в сквиде стоит привязка login к ip, причем смена ip отлавливается через arpwatch. iptables, привязка к маку не используется дабы лишний раз проксяк не напрягать. а так - если видишь что какой-то хохмач меняет адрес - сразу получает по ушам и больше так не делает (как правило). arpwatch понятно стоит на другой машине =)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
	Сообщение от mplane on 06-Ноя-03, 09:59  (MSK)
	>У меня это решается достаточно просто: в сквиде стоит привязка login к >ip, причем смена ip отлавливается через arpwatch. >iptables, привязка к маку не используется дабы лишний раз проксяк не напрягать. > >а так - если видишь что какой-то хохмач меняет адрес - сразу >получает по ушам и больше так не делает (как правило). > >arpwatch понятно стоит на другой машине =) Но, мне такое бы подошло с 10ю, ну 50 машинами!!! А у меня их 300 :((( И DHCP настроено... И Что я скажу юзеру если ему стукнет с другой машины в инет лезть.... ХЕЛП...ХЕЛП....ППП,.п.пппппп
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
	Сообщение от hvostik on 07-Ноя-03, 01:19  (MSK)
	>Но, мне такое бы подошло с 10ю, ну 50 машинами!!! А у >меня их 300 :((( И DHCP настроено... И Что я скажу >юзеру если ему стукнет с другой машины в инет лезть.... ХЕЛП...ХЕЛП....ППП,.п.пппппп > У меня это проблема решилась сама собой, после перевода squid-а на авторизацию по NTLM. Так как политика в домене NT разрешает только один заход пользователя в домен, то соответственно и сквид он может пользовать только с одного компа и под своим NT-евым аккаунтом. Все таки NTLM-ые хэши пользователи друг другу передавать вряд ли будут ;)))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
	Сообщение от junior on 07-Ноя-03, 11:55  (MSK)
	>Но, мне такое бы подошло с 10ю, ну 50 машинами!!! А у >меня их 300 :((( И DHCP настроено... И Что я скажу >юзеру если ему стукнет с другой машины в инет лезть.... ХЕЛП...ХЕЛП....ППП,.п.пппппп А зачем вообще задействовать IP-аутентификацию. Сразу делай допуск по MAC-адресу. Ну и пароли там роздай, изменения по аппаратным адресам отслеживай arpwatch-ем, как и советовали, он тебе письмо пришлёт ежели что поменялось в сети. сразу смотришь какой логин на этот адрес выдан и отключаешь его от инета :))) Не хочешь сам делать - скрипт напиши, но пока оттестируешь - ошибки будут - бить будут :))) Зато потом - ляпота..)) У меня раньше пробовали ставить на локальных тачках пробрасывающие мини-прокси, чтобы кому по времени запрещено мог в инет лазить. Всё отрубается при авторизации..)) Так что вывод: MAC+PASSWORD+ARPWATCH+IPTABLES работает всё при грамотной настройке. У меня и время допуска регулируется и ограничение на порнуху редиректором стоит. Правда доступ по времени я теперь iptables регулирую, так же как и соответствие MAC+IP, а ещё ограничение на количество соединений с одного адреса, величину скачивемого файла, скорость. Тут твоя фантазия только тебя сможет остановить :)))) Для пользователя хуже - если она извращённой окажется :))) Шутка.)) Удачного дня и с праздником, млин!!!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
	Сообщение от mplane on 07-Ноя-03, 20:26  (MSK)
	>>Но, мне такое бы подошло с 10ю, ну 50 машинами!!! А у >>меня их 300 :((( И DHCP настроено... И Что я скажу >>юзеру если ему стукнет с другой машины в инет лезть.... ХЕЛП...ХЕЛП....ППП,.п.пппппп > >А зачем вообще задействовать IP-аутентификацию. Сразу делай допуск по MAC-адресу. Ну и >пароли там роздай, изменения по аппаратным адресам отслеживай arpwatch-ем, как и >советовали, он тебе письмо пришлёт ежели что поменялось в сети. сразу >смотришь какой логин на этот адрес выдан и отключаешь его от >инета :))) Не хочешь сам делать - скрипт напиши, но пока >оттестируешь - ошибки будут - бить будут :))) Зато потом - >ляпота..)) >У меня раньше пробовали ставить на локальных тачках пробрасывающие мини-прокси, чтобы кому >по времени запрещено мог в инет лазить. Всё отрубается при авторизации..)) > >Так что вывод: MAC+PASSWORD+ARPWATCH+IPTABLES работает всё при грамотной настройке. У меня и >время допуска регулируется и ограничение на порнуху редиректором стоит. Правда доступ >по времени я теперь iptables регулирую, так же как и соответствие >MAC+IP, а ещё ограничение на количество соединений с одного адреса, величину >скачивемого файла, скорость. >Тут твоя фантазия только тебя сможет остановить :)))) >Для пользователя хуже - если она извращённой окажется :))) Шутка.)) >Удачного дня и с праздником, млин!!! Ну, спасибо.... По времени и SQUID замечательно регулирует.... Не MAC и IP отпадает!!! Здача не в том что бы с определённого IP или MAC адреса только можно войти... А в том что ьы юзера не могли с двух тачек под одним ЛОГИНОМ в инет идти...Так что я не вижу решения в твоём совете... Я бы тогда мог бы конкретный IP пускать в инет, сделав при этом IP POOL который не меняется- статический...О! ЧТО МНЕ ЕЩЁ СДЕЛАТЬ???? ААААААААААААААААААААААААА???????????ПОМОГИТЕ!!!!!!!!!!!!!!!!!!!!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
	Сообщение от junior on 07-Ноя-03, 20:46  (MSK)
	>Ну, спасибо.... По времени и SQUID замечательно регулирует.... Не MAC и IP >отпадает!!! Здача не в том что бы с определённого IP или >MAC адреса только можно войти... А в том что ьы юзера >не могли с двух тачек под одним ЛОГИНОМ в инет идти...Так >что я не вижу решения в твоём совете... Я бы тогда >мог бы конкретный IP пускать в инет, сделав при этом IP >POOL который не меняется- статический...О! >ЧТО МНЕ ЕЩЁ СДЕЛАТЬ???? ААААААААААААААААААААААААА???????????ПОМОГИТЕ!!!!!!!!!!!!!!!!!!!! Во-первых не паникуй.)) Во-вторых - ты внимательно читать умеешь? Привязка логина к определённому MAC-адресу НЕ ДАСТ ПОД ТЕМ ЖЕ ЛОГИНОМ ЗАЙТИ С ДРУГОГО!!! Доступно? Удачного дня.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
	Сообщение от junior on 07-Ноя-03, 20:52  (MSK)
	В догонку. Всё это ОПРОБОВАНО у меня в сети. Всё это делается средствами SQUID-а, раз он тебе так дорог. Ни один пользователь в моей сетке НЕ СМОЖЕТ зайти с другого компа под СВОИМ даже логином, а любое ихменение аппаратного адреса сразу будет отмечено arpwatch и послано сообщение мне в почтуовый ящик. Можно на основании этих изменений написать скрипт или демон, который будет банить проштрафившийся адрес. Удачного дня.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
	Сообщение от mplane on 10-Ноя-03, 10:27  (MSK)
	>В догонку. >Всё это ОПРОБОВАНО у меня в сети. Всё это делается средствами SQUID-а, >раз он тебе так дорог. Ни один пользователь в моей сетке >НЕ СМОЖЕТ зайти с другого компа под СВОИМ даже логином, а >любое ихменение аппаратного адреса сразу будет отмечено arpwatch и послано сообщение >мне в почтуовый ящик. Можно на основании этих изменений написать скрипт >или демон, который будет банить проштрафившийся адрес. >Удачного дня. Дамс.....Действительно может и помоч....Но я как это бы сказать....Ещё маааленький и не всё умею.... Мона мне маааленький огонёк (примерчик MAC+LOGIN)для моего дальшого развития в нужном направлении ...Пожайлуста... Спасибо за Ваше терпение.....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
	Сообщение от junior on 10-Ноя-03, 11:35  (MSK)
	>Дамс.....Действительно может и помоч....Но я как это бы сказать....Ещё маааленький и не >всё умею.... Мона мне маааленький огонёк (примерчик MAC+LOGIN)для моего дальшого развития >в нужном направлении ...Пожайлуста... Можно. #----cut----# acl all 0.0.0.0/0.0.0.0 acl mac_user1 mac 00:00:00:00:00:01 acl mac_user2 mac 00:00:00:00:00:02 acl mac_user3 mac 00:00:00:00:00:03 acl pass_user1 proxy_auth user1 acl pass_user2 proxy_auth user2 acl pass_user3 proxy_auth user3 http_access allow mac_user1 pass_user1 http_access allow mac_user2 pass_user2 http_access allow mac_user3 pass_user3 http_access deny all http_reply_access allow mac_user1 http_reply_access allow mac_user2 http_reply_access allow mac_user3 http_reply_access deny all icp_access allow mac_user1 pass_user1 icp_access allow mac_user2 pass_user2 icp_access allow mac_user3 pass_user3 icp_access deny all miss_access allow mac_user1 miss_access allow mac_user2 miss_access allow mac_user3 miss_access deny all #-------cut--------# Не забудь, что SQUID нужно откомпилировать с поддержкой arp-acl --enable-arp-acl Ну и поддержка твоих методов аутентификации соответственно. Узанать, с какими опциями у тебя собран SQUID можно командой # squid -v >Спасибо за Ваше терпение..... На здоровье. Просто паника - последнее дело, особенно при отладке программ. Тут же как в X-Files - "Истина где-то рядом" ;-)))) Удачного дня!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
	Сообщение от mplane on 11-Ноя-03, 10:19  (MSK)
	>>Дамс.....Действительно может и помоч....Но я как это бы сказать....Ещё маааленький и не >>всё умею.... Мона мне маааленький огонёк (примерчик MAC+LOGIN)для моего дальшого развития >>в нужном направлении ...Пожайлуста... >Можно. >#----cut----# >acl all 0.0.0.0/0.0.0.0 > >acl mac_user1 mac 00:00:00:00:00:01 >acl mac_user2 mac 00:00:00:00:00:02 >acl mac_user3 mac 00:00:00:00:00:03 > >acl pass_user1 proxy_auth user1 >acl pass_user2 proxy_auth user2 >acl pass_user3 proxy_auth user3 > >http_access allow mac_user1 pass_user1 >http_access allow mac_user2 pass_user2 >http_access allow mac_user3 pass_user3 >http_access deny all > >http_reply_access allow mac_user1 >http_reply_access allow mac_user2 >http_reply_access allow mac_user3 >http_reply_access deny all > >icp_access allow mac_user1 pass_user1 >icp_access allow mac_user2 pass_user2 >icp_access allow mac_user3 pass_user3 >icp_access deny all > >miss_access allow mac_user1 >miss_access allow mac_user2 >miss_access allow mac_user3 >miss_access deny all > >#-------cut--------# > >Не забудь, что SQUID нужно откомпилировать с поддержкой arp-acl >--enable-arp-acl >Ну и поддержка твоих методов аутентификации соответственно. > >Узанать, с какими опциями у тебя собран SQUID можно командой ># squid -v > >>Спасибо за Ваше терпение..... >На здоровье. Просто паника - последнее дело, особенно при отладке программ. Тут >же как в X-Files - "Истина где-то рядом" ;-)))) > >Удачного дня! Спасибо Вам за ответ...Но у меня тут глупые вопросы есть.... 1. acl mac_user1 mac 00:00:00:00:00:01    acl pass_user1 proxy_auth user1    http_access allow mac_user1 pass_user1         ................. - это мне нужно столько ACL сколько у меня в сетки машин???? Т.е. у меня таких строк должно быть примерно 300 шт.??? Или тут описано разрешение на одновременный вход в инет с 3х машин?Можно тут подробнее.....Пожайлуста... 2.при вводе опции squid -v Мне рисует....- Version 2.4.STABLE6
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Помогите с авторизацией ! ПОЖАЙЛУСТА !!!"
	Сообщение от junior on 11-Ноя-03, 10:31  (MSK)
	>Спасибо Вам за ответ...Но у меня тут глупые вопросы есть.... >1. acl mac_user1 mac 00:00:00:00:00:01 >   acl pass_user1 proxy_auth user1 >   http_access allow mac_user1 pass_user1 >        ................. - это мне >нужно столько ACL сколько у меня в сетки машин???? Т.е. у >меня таких строк должно быть примерно 300 шт.??? Или тут описано >разрешение на одновременный вход в инет с 3х машин?Можно тут подробнее.....Пожайлуста... Нет, это описано для одной машины. Тебе прийдётся прописать их все. Такова иногда тяжкая рутина администратора. >2.при вводе опции squid -v Мне рисует....- Version 2.4.STABLE6 Не squid -V , а squid -v - это 2 разницы :)) Удачного дня.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.