https://www.opennet.ru/openforum/vsluhforumID12/6946.html Доброго всем времени суток.<br>Сразу к вопросу.<br> <br>Имеем сервер на FreeBSD, стоит ipfw+pf(не спрашивайте почему такая связка, очень удобно, во всяком случае мне нравится очень), но проблема не в этом.<br> <br>На борту стоит squid+ntlm+basic аутентификация пользователей из домена(Active Directory). Так же поставил SAMS.<br>У меня руками прописаны списки запрещенных сайтов и 3 группы пользователей.<br>Группы пользователей: InetUs, InetVIP, InetFull<br>Списки запрета доступа: Access.Denied и еще один список, которые разрешает только некоторые сайта из списка запрещенных для определенной группы.<br>Итак, InetUs - Запрещены все сайты из списка<br>InetVIP - запрещены все сайта из списка запрещенных, но разрешены некоторые из этого же списка<br>InetFull - разрешено все.<br>В Active Directory пользователям назначены группы в зависимости от их разрешений. Из домена авторизация проходит, с SAMS-ом почти разобрался(ну не люблю я подобные вещи, которые работают неизвестно для меня как)<br>В общем все вроде как работает, юзеры ходят, авториза https://www.opennet.ru/openforum/vsluhforumID12/6946.html#8 Sun, 06 Oct 2013 23:35:29 GMT &gt;[оверквотинг удален]<br>&gt; http_access allow Medium _acl_Access_Allow_VIP <br>&gt; http_access deny Medium _acl_Access_Denied <br>&gt; http_access allow Low <br>&gt; http_access allow Medium <br>&gt; http_access allow Full <br>&gt; http_access allow localnet <br>&gt; http_access deny !Safe_ports <br>&gt; ...........<br>&gt; Далее все стандартно.<br>&gt; После этого /usr/local/etc/rc.d/squid reload и проверяем, Все работает.<br><br>интересная задумка, вроде все понятно из ващего конфига, но не могу понять, в конечной связке есть ли sams ? если нет, то что значит эта строчка <br>acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams"<br><br><br> https://www.opennet.ru/openforum/vsluhforumID12/6946.html#7 Fri, 08 Feb 2013 03:51:44 GMT Итак!<br>Всем доброго здравия.<br>Звучал вопрос, в одном из сообщений, как у меня успехи с моей задачей, вот я готов написать.<br><br>Заработало, что я могу сказать.<br> <br>В Active Directory:<br>Созданы 3 дополнительные группы: <br>InetUs - нельзя запрещенные<br>InetVIP - нельзя запрещенные, кроме небольшого списка разрешенных<br>InetFull - Можно все.<br><br>На FreeBSD сделано следующее:<br>Ну естественно поднята самба, настроен керберос и конечно же сквид. Описывать полностью конфиги не буду, не к чему, все прекрасно понимают и знают что там написать, а те кто не знают, курите маны или читайте статьи, их полно и все на русском.<br>В squid.conf были удалены все acl-ы и добавлены следующие:<br><br># Авторизация в домене по NTLM и Basic для тех, что не смог авторизоваться по ntlm, так происходит.<br>auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp<br>auth_param ntlm children 150<br>auth_param ntlm keep_alive on<br>auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic<br>auth_param basi https://www.opennet.ru/openforum/vsluhforumID12/6946.html#6 Thu, 07 Feb 2013 03:37:21 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Вот допустим у пользователя есть несколько групп, в которые он входит, т.к.<br>&gt;&gt; работает на несколько отделов, скажем: <br>&gt;&gt; 1. Отдел дизайн <br>&gt;&gt; 2. Отдел клеинта1 <br>&gt;&gt; 3. Креативщик <br>&gt;&gt; 4. InetUs <br>&gt;&gt; Получается, что этот пользователь состоит в 4-х группах. Как тут быть?!<br>&gt; Создай в домене отдельные группы непосредственно для интернетов и помести туда сотрудников <br>&gt; в зависимости от их потребности в интернетах. Думаю не стоит привязывать <br>&gt; существующие группы.<br><br>Да, у меня именно так и сдалено. Созданы 3 доп группы: InetUs, InetVIP, InetFull, соответственно с определенными разрешениями для каждой из груп: запрещено все лишнее, частично разрешено личное и все разрешено соответственно.<br>Каждому из пользователей добавлена одна из групп в зависимости от политики доступа к ресурсам. У меня вопрос в другом, не будет ли конфликтов, если у пользователя несколько групп? Или работает так: Юзает пользователь инет, прокси считывает из домена его группы и перебирает, доходит до первой и пр https://www.opennet.ru/openforum/vsluhforumID12/6946.html#5 Wed, 06 Feb 2013 04:59:14 GMT &gt; Немного не понял.<br>&gt; Вот допустим у пользователя есть несколько групп, в которые он входит, т.к. <br>&gt; работает на несколько отделов, скажем: <br>&gt; 1. Отдел дизайн <br>&gt; 2. Отдел клеинта1 <br>&gt; 3. Креативщик <br>&gt; 4. InetUs <br>&gt; Получается, что этот пользователь состоит в 4-х группах. Как тут быть?!<br><br>Создай в домене отдельные группы непосредственно для интернетов и помести туда сотрудников в зависимости от их потребности в интернетах. Думаю не стоит привязывать существующие группы.<br> https://www.opennet.ru/openforum/vsluhforumID12/6946.html#4 Wed, 06 Feb 2013 04:28:09 GMT &gt;&gt; Попробую обязательно. Сейчас встречный еще один вопрос, а если групп несколько, то <br>&gt;&gt; как он не перепутается в списке этих групп?<br>&gt; Все просто, пользователь может занимать только одну группу, т.к. авторизация будет проходить <br>&gt; на AD. Squid будет лишь сопоставлять пользователя и группу.<br>&gt; Пробуйте удачи!<br><br>Немного не понял.<br>Вот допустим у пользователя есть несколько групп, в которые он входит, т.к. работает на несколько отделов, скажем:<br>1. Отдел дизайн<br>2. Отдел клеинта1<br>3. Креативщик<br>4. InetUs<br><br>Получается, что этот пользователь состоит в 4-х группах. Как тут быть?!<br> https://www.opennet.ru/openforum/vsluhforumID12/6946.html#3 Tue, 05 Feb 2013 08:45:13 GMT &gt; Попробую обязательно. Сейчас встречный еще один вопрос, а если групп несколько, то <br>&gt; как он не перепутается в списке этих групп?<br><br>Все просто, пользователь может занимать только одну группу, т.к. авторизация будет проходить на AD. Squid будет лишь сопоставлять пользователя и группу.<br>Пробуйте удачи!<br><br> https://www.opennet.ru/openforum/vsluhforumID12/6946.html#2 Tue, 05 Feb 2013 08:23:02 GMT &gt; Глянь вот эту статейку http://macrodmin.blogspot.ru/2012/07/squid-active-directory.html <br>&gt; возможно я ошибаюсь,но тебе что-то типо такого и нужно.<br>&gt; Если я правильно понял,то ты хочешь чтоб все изменения по по уровню <br>&gt; доступа юзеров происходили путем перемещения их из одной группы в другую <br>&gt; в AD?<br><br>Да, похоже. Правила я напишу в сквиде, у меня была проблема только автоматом авторизоваться NT-группам, но судя по статье:<br>acl Full external nt_group Internet_Full<br>acl Medium external nt_group Internet_Medium<br>acl Low external nt_group Internet_Low<br>тег nt_group работает как определение группы, которой принадлежит пользователь.<br> <br>Попробую обязательно. Сейчас встречный еще один вопрос, а если групп несколько, то как он не перепутается в списке этих групп?<br> https://www.opennet.ru/openforum/vsluhforumID12/6946.html#1 Tue, 05 Feb 2013 04:18:57 GMT Глянь вот эту статейку http://macrodmin.blogspot.ru/2012/07/squid-active-directory.html возможно я ошибаюсь,но тебе что-то типо такого и нужно.<br>Если я правильно понял,то ты хочешь чтоб все изменения по по уровню доступа юзеров происходили путем перемещения их из одной группы в другую в AD?<br>