https://www.opennet.ru/openforum/vsluhforumID14/1169.html Помогите решить следующую задачу с разрешением доступа к определенным ресурсам на уровне групп. <br>_Имеем_: Стандартную аутентификацию пользователей через NTLM. Т.е. если пользователь принадлежить группе "Internet-Access", то сквид пускает его: <br> <br>auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-787762258-882461402-281947949-2472 <br>auth_param ntlm children 10 <br>auth_param ntlm max_challenge_reuses 0 <br>auth_param ntlm max_challenge_lifetime 2 minutes <br> <br>auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic <br>auth_param basic children 10 <br>auth_param basic realm Squid proxy-caching web server <br>auth_param basic credentialsttl 2 hours <br> <br> acl myusers proxy_auth REQUIRED <br> http_access allow myusers <br> <br>_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru. <br>Как мне реализовать это в https://www.opennet.ru/openforum/vsluhforumID14/1169.html#9 Tue, 06 Apr 2010 11:12:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt;иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru. <br>&gt;&gt;Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к <br>&gt;&gt;разным acl, но как? <br>&gt;&gt;Помогите пожалуйста! <br>&gt;<br>&gt;acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов <br>&gt;<br>&gt;<br>&gt;http_access allow Internet-Limit allowURLS // група Internet-Limit ходит только по сайтам, заданным <br>&gt;в файле spisok. <br><br>acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов<br>http_access allow Internet-Limit allowURLS // група Internet-Limit ходит по сайтам, заданным<br>http_access allow Internet-Limit !allowURLS // група Internet-Limit не ходит по сайтам, не заданным<br>вот так работает стабильнее.<br><br> https://www.opennet.ru/openforum/vsluhforumID14/1169.html#8 Wed, 21 Feb 2007 18:21:14 GMT у меня wbinfo_group.pl зависает на строчке wbinfo -r<br>соотвественно юзерам отлуп<br>FreeBSD 6.2<br>samba 3.0.23c<br>squid 2.6stable3 https://www.opennet.ru/openforum/vsluhforumID14/1169.html#7 Wed, 24 Jan 2007 12:23:11 GMT &gt;&gt;&gt;Internet-Limit - группа в AD <br>&gt;&gt;Тут неплохая статья по настройке: http://www.lissyara.su/?id=1026 <br>&gt;Мне нужно настроить squid и не лазить больше в конфиги, а управлять <br>&gt;пользователями только из AD. Пришел новый сотрудник, добавил его в группу <br>&gt;Internet-Limit, его автоматически squid начал пускать только на определенные сайты. Уволился <br>&gt;сотрудник, удалил его из группы и все. Не нужно лазить в <br>&gt;конфиги и править их постоянно. Поэтому авторизация по IP-адресу или по <br>&gt;логинам, которые скажем в текстовом файле лежат - мне не подходит. <br>&gt;Нужна именно авторизация из домена Windows. <br><br>Взять wbinfo_group.pl<br>переделать, чтобы он сохранял список пользователей группы в файл и этот файл использовать в acl. <br>Этот способ здесь как-то проскакивал вместе со скриптом<br><br><br> https://www.opennet.ru/openforum/vsluhforumID14/1169.html#6 Wed, 24 Jan 2007 10:49:22 GMT &gt;&gt;Internet-Limit - группа в AD <br>&gt;&gt;Такое правило явно не будет работать: http_access allow Internet-Limit allowURLS <br>&gt;&gt;Откуда squid узнает какие пользователи принадлежат группе Internet-Limit? <br>&gt;Надо сквиду задать группу аслем в сквиде.У тебя как в АД как <br>&gt;группа задана? В сквиде можно по IP-адресам, можно по логинам, можно <br>&gt;по тем и другим :). <br>&gt;Тут неплохая статья по настройке: http://www.lissyara.su/?id=1026 <br>Мне нужно настроить squid и не лазить больше в конфиги, а управлять пользователями только из AD. Пришел новый сотрудник, добавил его в группу Internet-Limit, его автоматически squid начал пускать только на определенные сайты. Уволился сотрудник, удалил его из группы и все. Не нужно лазить в конфиги и править их постоянно. Поэтому авторизация по IP-адресу или по логинам, которые скажем в текстовом файле лежат - мне не подходит. Нужна именно авторизация из домена Windows. https://www.opennet.ru/openforum/vsluhforumID14/1169.html#5 Wed, 24 Jan 2007 10:01:28 GMT &gt;Internet-Limit - группа в AD <br>&gt;Такое правило явно не будет работать: http_access allow Internet-Limit allowURLS <br>&gt;Откуда squid узнает какие пользователи принадлежат группе Internet-Limit? <br>Надо сквиду задать группу аслем в сквиде.У тебя как в АД как группа задана? В сквиде можно по IP-адресам, можно по логинам, можно по тем и другим :).<br>Тут неплохая статья по настройке: http://www.lissyara.su/?id=1026<br> https://www.opennet.ru/openforum/vsluhforumID14/1169.html#4 Wed, 24 Jan 2007 09:15:57 GMT &gt;вопрос по текущей задачке, а как вы получили SID группы? у меня <br>&gt;wbinfo посылает нафиг с сообщением Could not lookup name inet, при <br>&gt;этом SID пользователя отдает исправно ... <br>Я узнавал SID группы выполнив следующую команду:<br>wbinfo -n "Internet Access"<br>Получаем, например, такую информацию:<br>S-1-5-21-946522595-3288868333-4157271670-1186 Local Group (4)<br>Это и есть SID нашей группы.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID14/1169.html#3 Wed, 24 Jan 2007 09:13:06 GMT &gt;&gt;_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны <br>&gt;&gt;иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru. <br>&gt;&gt;Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к <br>&gt;&gt;разным acl, но как? <br>&gt;&gt;Помогите пожалуйста! <br>&gt;<br>&gt;acl allowURLs url_regex "../spisok"// путь к файлу, где задан список разрешенных сайтов <br>&gt;<br>&gt;<br>&gt;http_access allow Internet-Limit allowURLS // група Internet-Limit ходит только по сайтам, заданным <br>&gt;в файле spisok. <br>Internet-Limit - группа в AD<br>Такое правило явно не будет работать: http_access allow Internet-Limit allowURLS<br>Откуда squid узнает какие пользователи принадлежат группе Internet-Limit?<br> https://www.opennet.ru/openforum/vsluhforumID14/1169.html#2 Wed, 24 Jan 2007 09:04:30 GMT вопрос по текущей задачке, а как вы получили SID группы? у меня wbinfo посылает нафиг с сообщением Could not lookup name inet, при этом SID пользователя отдает исправно ... https://www.opennet.ru/openforum/vsluhforumID14/1169.html#1 Wed, 24 Jan 2007 09:03:55 GMT &gt;Помогите решить следующую задачу с разрешением доступа к определенным ресурсам на уровне <br>&gt;групп. <br>&gt;_Имеем_: Стандартную аутентификацию пользователей через NTLM. Т.е. если пользователь принадлежить группе "Internet-Access", <br>&gt;то сквид пускает его: <br>&gt;<br>&gt;auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-787762258-882461402-281947949-2472 <br>&gt;auth_param ntlm children 10 <br>&gt;auth_param ntlm max_challenge_reuses 0 <br>&gt;auth_param ntlm max_challenge_lifetime 2 minutes <br>&gt;<br>&gt;auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic <br>&gt;auth_param basic children 10 <br>&gt;auth_param basic realm Squid proxy-caching web server <br>&gt;auth_param basic credentialsttl 2 hours <br>&gt;<br>&gt; acl myusers proxy_auth REQUIRED <br>&gt; http_access allow myusers <br>&gt;<br>&gt;_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны <br>&gt;иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru. <br>&gt;Ка