Возможна ли авторизация в squid по паролю, только с конкретного ip или arp

то есть тебе надо чтобы например юзер vasya ходил только с компа 10.10.10.1 ? если да, то external acl поможет. посмотри на ip_user_check лежит это чудо в исходниках сквида в helpers/external_acl/ip_user , в README все написано. ну и дальше останется только написать конфиг-файл для него и добавить в squid.conf что-то типа http_access allow AuthorizedUsers ip2user

> возможен ли subj
Запросто:
acl vasya_ip src x.x.x.x
acl vasya_login proxy_auth vasya
acl authenticated_users proxy_auth REQUIRED

http_access deny vasya_login !vasya_ip
....
http_access allow authenticated_users

И так для каждого юзера ... :-)

acl users proxy_auth [-i] "/etc/squid/acl/users.list"
acl comps srcdomain "/etc/squid/acl/computers.list"

http_access deny !comps
http_access users

и ненадо ничего для каждого юзера прописывать

2anonymous2: явные огрехи синтаксиса опускаем, но у тебя получится что авторизованный юзер может зайти с _любого_ разрешенного компьютера. а нам нужно четкое соответствее юзер-компьютер. вариант предложенный spirit-ом коряв и громоздок до безобразия, о чем ему и сказали. так что разумных альтернатив предложенному мной нету :)

Хорошо, проблему автора решили. Переходим к следующей.

Юзер Вася имеет в голове мозг и умеет менять IP и MAC своей машины. Дальше что?

Приходим к VPN-авторизации и т.п. При этом, по-видимому, нарушая одно из условий задачи -- привязка к _машине_. Как будем идентифицировать в сети _компьютер_ НЕ по IP/MAC БЕЗ применения умных свитчей?

Спасибо большое sasha999 и spirit! Способ spirit стандартнее и проще, но разберусь с обоими вариантами. По поводу замены IP и MAC есть arpwatch и и 'умные' switch-и с поддержкой Port Security. Но последнее это крайний вариант, и софт с железом пока умнее наших юзеров, да и о последствиях сих действий они догадываются ;-)