LINUX.ORG.RU
ФорумAdmin

Браузеры запрашивают логин и пароль при работе через squid

 ,


0

1

Здравствуйте! Squid настроен через аутентификация по kerberos. В конфиге отфильтрованы группы с доступом к сети интернет. В свойствах обозревателя прописан доменный адрес squid сервера. Для меня остается вопросом, почему если я выхожу в интернет под учетной записью, которая аутентифицируется по kerberos Internet Explorer не требует ввести логин и пароль, а такие браузеры как Chrome, Firefox запрашивают. Примечательно то что отрабатывает фильтрация по доступу/запрету к веб сайтам на конкретные группы Active Directory. К примеру, запускаю Chrome, вылазит окошко ввести логин и пароль, нажимаю отмена, далее перехожу на запрещенный сайт получаю отказ, на разрешенный - пускает. В чем заключается проблема?

Дополнение к своей теме. Логин с паролем запрашивает не у всех пользователей. К примеру, есть Вася и Миша. Вася в группе 1 Миша в группе 2. Вот у Васи не спрашивает логин и пароль, а у Миши наоборот.

Kalmar3425
() автор топика
Ответ на: комментарий от Kalmar3425

Всмысле это linux.org.ru, а не windows.org.ru. Так доступнее?

anc ★★★★★
()
Ответ на: комментарий от Kalmar3425

У тебя поднят актив директори и доменные машины на windows, которые ходят через прокси squid, поднятый на linux?

Вообще, в случае хрома тоже должно быть проблем. Он использует системную прокси.

А вот в firefox своя реализация прокси.

anonymous
()
Ответ на: комментарий от anonymous

Да, все верно поднятый прокси на ubuntu, клиентские машины под виндой в домене AD. Да, хром использует системные настройки, что и Internet Explorer. Сейчас проверил этих пользователей и оказалось, что дело не в группах. У Вани не требует логин и пароль у Миши требует. Еще мне не нравится в конфиге строки

acl auth proxy_auth REQUIRED отвечает за объявление пользователей которые прошли аутентификация для доступа в интернет http_access allow auth отвечает за действие над acl листом, то есть разрешить выйти в интернет.

Kalmar3425
() автор топика
Ответ на: комментарий от Kalmar3425

то, есть когда есть строка http_access allow auth пускает абсолютно всех не требуя логин и пароль, даже на запрещенные сайты. стоит убрать эту строку, как фильтрация работает

Kalmar3425
() автор топика
Ответ на: комментарий от anonymous

не понятно почему на конкретного пользователя ругается браузер. с помощью комманды /ext_kerberos_ldap_group_acl пользователя определяет в группе.

Kalmar3425
() автор топика
Ответ на: комментарий от anc

мб дело в синтаксисе строк и очередности в конфиге?

Имеется группа, задача которой разрешить доступ ко внешним интернет ресурсам, но запретить интернет в целом. Написано так

Хелпер

external_acl_type group ttl=3600 negative_ttl=3600 children-max=50 children-startup=10 children-idle=5 grace=15 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g group -D domain.loc

Инициализация группы

acl group external group

Инициализация списка с разрешенными сайтами

acl allow dstdom_regex -i «/etc/squid/allow_sites/access»

Действие над группой

http_access allow group allow http_access deny group

Kalmar3425
() автор топика
Ответ на: комментарий от Kalmar3425

решил проблему!!! если мы разрешаем доступ на конкретные сайты http_access allow group access то срока ниже http_access deny group не нужна!!!

Kalmar3425
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin