LINUX.ORG.RU
ФорумAdmin

настройка авторизации в squid


0

0

Есть сервер Win NT. Squid 2.5 - STABLE12

Необходимо сделать авторизацию по группе в домене win nt. Если учетная запись в домене есть в соответствующей группе - пускаем в Инет , нет - не пускаем.

Завел в домене NT группу ProxyUsers.

squid скомпилировал с опциями --enable-auth="ntlm,basic" \ --enable-basic-auth-helpers="winbind" \ --enable-ntlm-auth-helpers="winbind" \ --enable-external-acl-helpers="winbind_group" \ --enable-external-acl-helpers="wbinfo_group" \

в squid.conf прописал строки из readmy по wb_group

external_acl_type NT_global_group %LOGIN /usr/lib/squid/wb_group acl ProxyUsers external NT_global_group ProxyUsers acl password proxy_auth REQUIRED

разрешаю доступ только тем , кто в группе http_access allow password ProxyUsers

схемы аутентификации описаны так

auth_param basic program /usr/lib/squid/wb_auth auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param ntlm program /usr/lib/squid/wb_ntlmauth auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes

winbindd поднят и настроен , по крайней мере wbinfo -a user%passwd plaintext password authentication succeeded

тестирую [root@]# /usr/lib/squid/wb_auth user passwd OK т.е. вроде как пароли в NT домене видит и пользователя авторизует [root@]# /usr/lib/squid/wb_group user ProxyUsers ERR добавляю себя в группу в NT домене, пробую еще раз user ProxyUsers OK т.е вроде в группе он меня видит

Вот только все вместе это не работает. Запускаю squid , при попытке достучатся до какой либо страницы он запрашивает имя пользователя/пароль , а после ввода сразу пускает и не смотрит на то , есть ли данный пользователь в группе ProxyUsers или нет. Авторизация по пользователю/паролю работает , а по группам не работает и не могу понять почему.

Подскажите , куда копать.

Спасибо.

anonymous

Re: настройка авторизации в squid

1. wb_auth можешь выкинуть, если посмотришь повнимательнее он идет с
исходниками от 2 самбы, можешь конечно патчить, но это потеря времени.
2. У тебя 2 варианта:
- вставить в параметры ntlm_auth имя группы
(--require-membership-of=..)
- использовать nsswitch + winbind + external acl squid_unix_group

Z0termaNN ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.