LINUX.ORG.RU

Ответ на: комментарий от anonymous

>>функциональность и гибкость.

Гм, судя по данному форуму, где каждый 5 вопрос - "помогите со сквидом" начинаешь задумываться, так ли это хорошо? Мне вот mod_proxy за глаза хватает. Или апач для тебя недостаточно гибкий?

geekkoo
() автор топика
Ответ на: комментарий от geekkoo

Каждый пятый вопрос задает лентяй, не захотевший прочесть документацию. Если Вам хватает, чего вы еще хотите???

anonymous
()
Ответ на: комментарий от anonymous

>>Каждый пятый вопрос задает лентяй, не захотевший прочесть документацию.

Кстати, я с ними согласен. Документация ужасная. Я понял это, когда вчера пытался реализовать прозрачный прокси с аутентификацией через GSSAPI. Насколько просто это делается в апаче и насколько тяжело (невозможно?) в сквиде. По-моему, это следствие ошибок в проектировании.

>>Если Вам хватает, чего вы еще хотите???

Хотел узнать - может я чего-то не понимаю в этой жизни?

geekkoo
() автор топика
Ответ на: комментарий от sdio

Да. Намекаешь, что у апача некэширующий прокси?

geekkoo
() автор топика
Ответ на: комментарий от anonymous

А объяснить слабо, что именно я не понимаю?
И вот опять на две темы выше - сквид + дольмен и кромлех 2000 + авторизация...
Это не закончится, по-видимому, никогда.

geekkoo
() автор топика
Ответ на: комментарий от anonymous

Это разные вещи. Апач большой и про него спрашивают разнообразные вещи часто к нему не относящиеся (к примеру, из недавнего - "как скомпилировать модуль mod_ldap?"). А про сквид все долбятся в одну точку - авторизация-AD-прозрачный логин. При том, что в сквиде куча autorization helpers и половина из них не доделаны (в SASL работает только plain механизм), а вторая половина не работает вообще (предлагают использовать утилитку из 4-й недоделанной Самбы).
Прощу прощения, если задеваю чьи-то религиозные чувства, но сквид - это какой-то зоопорк, если не паноптикум. Причем есть же альтернативы - апач+mod_proxy+mod_kerb_auth (а во втором апаче есть еще mod_filter) из которых можно такую конфигурацию сделать, что сквид будет выглядеть жалкой поделкой.

geekkoo
() автор топика
Ответ на: комментарий от anonymous

Гхм, не делал, но можно попробовать <Directory> инструкции, каждую со своими правами доступа для определенных пользователей и с разными параметрами шейпера.
Хотя, насчет имени пользователя - сквиду бы лучше не отсвечивать лишний раз по этой теме.

geekkoo
() автор топика
Ответ на: комментарий от geekkoo

Так попробуйте. Потом посмотрим сколько будет вопросов наподобие:

> где каждый 5 вопрос - "помогите со сквидом"

:)

а шейпить, как я понимаю, будет без учета "вида" запрашиваемого ресурса? можно ли сделать чтобы ограничение было только на *.mp3, а все остальное без ограничения скорости? причем это ограничение можно было снять для определенной группы пользователей... а хотя, это конечно уже крайности.

но всё же не лучше ли использовать squid в качестве proxy, а apache в качестве web-сервера?

anonymous
()
Ответ на: комментарий от anonymous

>>а шейпить, как я понимаю, будет без учета "вида" запрашиваемого ресурса?

А mod_filter на что?

geekkoo
() автор топика
Ответ на: комментарий от anonymous

>>не лучше ли использовать squid в качестве proxy

Нет не лучше. После прочтения треда http://www.mail-archive.com/squid-users@squid-cache.org/msg43252.html
у меня возникли вопросы к квалификации разработчиков сквида.

Еще пожелания по конфигурированию mod_proxy будут?

geekkoo
() автор топика
Ответ на: комментарий от geekkoo

ага, есть еще желание положить настройки в базу данных. с целью динамического изменения прав пользователей через web-интерфейс.

anonymous
()
Ответ на: комментарий от anonymous

Это что, типа, налетай - подешевело? Сквид свои настройки в базе данных умеет держать? А уеб морду к базе данных делать - это вообще деццкий сад.

geekkoo
() автор топика
Ответ на: комментарий от geekkoo

external_acl_type uzvers ttl=300 negative_ttl=600 concurrency=15 
   %SRC %METHOD %LOGIN /.../squid/uzvers_rights

acl uzvers_all external uzvers 
acl uzvers_admin external uzvers ADMIN
acl uzvers_unlimit external uzvers TRAFFIC_UNLIMITED
acl uzvers_multimedia external uzvers ALLOW_MULTIMEDIA
acl uzvers_exec external uzvers ALLOW_EXEC
acl uzvers_archives external uzvers ALLOW_ARCHIVES
acl uzvers_connect external uzvers ALLOW_CONNECT
acl uzvers_speedy external uzvers SPEED_UNLIMITED
acl uzvers_overused external uzvers IS_OVERUSED 10000000
acl uzvers_no_remain external uzvers NO_REMAIN
acl uzvers_bigfiles external uzvers ALLOW_BIGFILES

http_access allow multimedia uzvers_multimedia
http_access deny multimedia all
http_access allow CONNECT Safe_ports uzvers_connect
http_access deny CONNECT
.
.
.
http_access deny !uzvers_all
http_access deny uzvers_no_remain !uzvers_unlimit

delay_class 1 3
delay_parameters 1 -1/-1 -1/-1 -1/-1
delay_access 1 allow uzvers_speedy
delay_access 1 deny uzvers_overused

delay_class 2 2
delay_parameters 2 ___/-1 ___/___
delay_access 2 deny uzvers_overused
delay_access 2 deny uzvers_speedy  
delay_access 2 allow uzvers_all    

delay_class 3 2
delay_parameters 2 256/512 -1/-1
delay_access 2 allow uzvers_overused
delay_access 2 deny all

ну и так далее.....

/.../squid/uzvers_rights - обращается к базе данных.

для управления правами пользователей пишем свой 
уеб интерфейс (можно на "быдлоязычке" php)


anonymous
()
Ответ на: комментарий от geekkoo

ну как бы это не называлось - оно работает.

ради интереса... на скольки колесный велосипед надо водрузить апач, чтобы добиться аналогичной функциональности?

anonymous
()
Ответ на: комментарий от anonymous

>>на скольки колесный велосипед надо водрузить апач

Я не уверен, что для этого апач вообще нужно куда-то там водружать. Это вопрос правильно выбранного движка авторизации пользователей. Апач на входе получает проверенное имя пользователя и его группу и дальше разруливает их самостоятельно.

geekkoo
() автор топика
Ответ на: комментарий от geekkoo

что есть группа?

принадлежность пользователя какой-либо группе определяется динамически (допустим через какой-то пользовательский интерфейс)?

пользователь может состоять в нескольких группах одновременно? или Вы предлагаете создавать: количество_групп = 2 ^ количество_прав ?

anonymous
()
Ответ на: комментарий от anonymous

#cat /etc/apache/groups.dat
proxy1: user1@REALM.RU user2@REALM.RU
proxy2: user1@REALM.RU

#cat /etc/apache/httpd.conf
...
<IfModule mod_proxy.c>
ProxyRequests On
AllowCONNECT 8080
<Directory ~ proxy:.*>
Deny from all
AuthType Kerberos
AuthName "MyLogin"
AuthGroupFile /etc/apache/groups.dat
require group proxy1
Satisfy any
</Directory>
<Directory ~ proxy:.*mp3$>
Deny from all
AuthType Kerberos
AuthName "Music Download"
AuthGroupFile /etc/apache/groups.dat
require group proxy2
Satisfy any
</Directory>
...

Это для апача 1.3. Со вторым апачем все еще более интересно поскольку группы можно таскать из ldap-а, а аутентификацию иметь какую угодно. Кроме того для 2-го апача есть интересный модуль mod_cband с per-user настройкой скорости соединения.

geekkoo
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.