форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"squid и несколько доменов"

Сообщение от switchGS (??) on 16-Мрт-07, 16:34

У меня squid с ntlm авторизацией на основе доменных аккаунтов. squid Работает в связке с winbind.Хотелосьбы чтобы пускало пользователей и с других доменов. kerberos и samba настроил.Вижу всех пользователей AD . Какие настройки нужно выполнить в squid.conf?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "squid и несколько доменов"

Сообщение от pavel_simple (ok) on 16-Мрт-07, 16:54

да в общем то только acl прописать. больше ничего и не надо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "squid и несколько доменов"
	Сообщение от switchGS (??) on 17-Мрт-07, 15:58
	>да в общем то только acl прописать. больше ничего и не надо. > Пускает пользователей с разных доменов Active Directory если конфиге указать auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp #--require-membership-of=1.xxx.ru+inet  --require-membership-of=2.ххx.ru+inet auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic #--require-membership-of=1.xxx.ru --require-membership-of=2.xxx.ru auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours если добовляю --require-membership-of=1.xxx.ru+inet  --require-membership-of=2.ххx.ru+inet перестаёт пускать что значит прописать acl если можно приведите пример спасибо
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "squid и несколько доменов"
	Сообщение от pavel_simple (ok) on 19-Мрт-07, 20:21
	#       acl aclname proxy_auth username ... #       acl aclname proxy_auth_regex [-i] pattern ... #         # list of valid usernames #         # use REQUIRED to accept any valid username. соответственно... acl dom1users proxy_auth dom1+user1  dom1+user2 dom1+user3 acl dom2users proxy_auth dom2+user1  dom2+user2 dom2+user3 ну и потом этот acl в http_access... http_access allow dom1users dom1network http_access allow dom2users dom2network "dom2+user2" -- здесь плюсик -- это если в smb.conf проставлено winbind separator=+, если нет надо юзать "//". dom2network -- можно использовать, только нужно определить сначала. А можно просто не указывать. Удачи.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "squid и несколько доменов"
	Сообщение от Sova (??) on 20-Июн-07, 13:16
	>#       acl aclname proxy_auth username ... > >#       acl aclname proxy_auth_regex [-i] pattern >... >#         # list of >valid usernames >#         # use REQUIRED >to accept any valid username. > >соответственно... > >acl dom1users proxy_auth dom1+user1  dom1+user2 dom1+user3 >acl dom2users proxy_auth dom2+user1  dom2+user2 dom2+user3 >ну и потом этот acl в http_access... > >http_access allow dom1users dom1network >http_access allow dom2users dom2network > >"dom2+user2" -- здесь плюсик -- это если в smb.conf проставлено winbind separator=+, >если нет надо юзать "//". >dom2network -- можно использовать, только нужно определить сначала. А можно просто не >указывать. > >Удачи. неа, если указать там группы - нифига не работает... а указывать поюзерно - не интересно... может есть еще варианты?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "squid и несколько доменов"
	Сообщение от KomaLex (??) on 20-Июн-07, 13:32
	>>#       acl aclname proxy_auth username ... >> >>#       acl aclname proxy_auth_regex [-i] pattern >>... >>#         # list of >>valid usernames >>#         # use REQUIRED >>to accept any valid username. >> >>соответственно... >> >>acl dom1users proxy_auth dom1+user1  dom1+user2 dom1+user3 >>acl dom2users proxy_auth dom2+user1  dom2+user2 dom2+user3 >>ну и потом этот acl в http_access... >> >>http_access allow dom1users dom1network >>http_access allow dom2users dom2network >> >>"dom2+user2" -- здесь плюсик -- это если в smb.conf проставлено winbind separator=+, >>если нет надо юзать "//". >>dom2network -- можно использовать, только нужно определить сначала. А можно просто не >>указывать. >> >>Удачи. > >неа, если указать там группы - нифига не работает... а указывать поюзерно >- не интересно... может есть еще варианты? Через внешнии списки можно по группам делать отсев. external_acl_type ADGroup ttl=0 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl далее acl inet proxy_auth REQUIRED Хотя не пробовал у меня один. Но если winbind настроен и видит все домены то и он должен разобратся. Этот скрипт чмиает ID груп с помощью wbinfo. acl InetUser external ADGroup inetaccess acl dsGamer external ADGroup dsgroup
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]