Гм, судя по данному форуму, где каждый 5 вопрос - "помогите со сквидом" начинаешь задумываться, так ли это хорошо? Мне вот mod_proxy за глаза хватает. Или апач для тебя недостаточно гибкий?
>>Каждый пятый вопрос задает лентяй, не захотевший прочесть документацию.
Кстати, я с ними согласен. Документация ужасная. Я понял это, когда вчера пытался реализовать прозрачный прокси с аутентификацией через GSSAPI. Насколько просто это делается в апаче и насколько тяжело (невозможно?) в сквиде. По-моему, это следствие ошибок в проектировании.
>>Если Вам хватает, чего вы еще хотите???
Хотел узнать - может я чего-то не понимаю в этой жизни?
А объяснить слабо, что именно я не понимаю?
И вот опять на две темы выше - сквид + дольмен и кромлех 2000 + авторизация...
Это не закончится, по-видимому, никогда.
Это разные вещи. Апач большой и про него спрашивают разнообразные вещи часто к нему не относящиеся (к примеру, из недавнего - "как скомпилировать модуль mod_ldap?"). А про сквид все долбятся в одну точку - авторизация-AD-прозрачный логин. При том, что в сквиде куча autorization helpers и половина из них не доделаны (в SASL работает только plain механизм), а вторая половина не работает вообще (предлагают использовать утилитку из 4-й недоделанной Самбы).
Прощу прощения, если задеваю чьи-то религиозные чувства, но сквид - это какой-то зоопорк, если не паноптикум. Причем есть же альтернативы - апач+mod_proxy+mod_kerb_auth (а во втором апаче есть еще mod_filter) из которых можно такую конфигурацию сделать, что сквид будет выглядеть жалкой поделкой.
Гхм, не делал, но можно попробовать <Directory> инструкции, каждую со своими правами доступа для определенных пользователей и с разными параметрами шейпера.
Хотя, насчет имени пользователя - сквиду бы лучше не отсвечивать лишний раз по этой теме.
Так попробуйте. Потом посмотрим сколько будет вопросов наподобие:
> где каждый 5 вопрос - "помогите со сквидом"
:)
а шейпить, как я понимаю, будет без учета "вида" запрашиваемого ресурса? можно ли сделать чтобы ограничение было только на *.mp3, а все остальное без ограничения скорости? причем это ограничение можно было снять для определенной группы пользователей...
а хотя, это конечно уже крайности.
но всё же не лучше ли использовать squid в качестве proxy, а apache в качестве web-сервера?
Нет не лучше. После прочтения треда http://www.mail-archive.com/squid-users@squid-cache.org/msg43252.html
у меня возникли вопросы к квалификации разработчиков сквида.
Еще пожелания по конфигурированию mod_proxy будут?
>>на скольки колесный велосипед надо водрузить апач
Я не уверен, что для этого апач вообще нужно куда-то там водружать. Это вопрос правильно выбранного движка авторизации пользователей. Апач на входе получает проверенное имя пользователя и его группу и дальше разруливает их самостоятельно.
#cat /etc/apache/httpd.conf
...
<IfModule mod_proxy.c>
ProxyRequests On
AllowCONNECT 8080
<Directory ~ proxy:.*>
Deny from all
AuthType Kerberos
AuthName "MyLogin"
AuthGroupFile /etc/apache/groups.dat
require group proxy1
Satisfy any
</Directory>
<Directory ~ proxy:.*mp3$>
Deny from all
AuthType Kerberos
AuthName "Music Download"
AuthGroupFile /etc/apache/groups.dat
require group proxy2
Satisfy any
</Directory>
...
Это для апача 1.3. Со вторым апачем все еще более интересно поскольку группы можно таскать из ldap-а, а аутентификацию иметь какую угодно. Кроме того для 2-го апача есть интересный модуль mod_cband с per-user настройкой скорости соединения.