Как подружить ext_kerberos_ldap_group_acl и delay_pools?

0

1

Добрый день, есть Astra linux со Squid 4.6 и FreeIPA Настроил авторизацию kerberos и работает отлично. Понадобилось сделать ограничение скорости, разделил на группы, но при использовании delay_pool сыпятся ошибки: WARNING: class_minimum ACL is used in context without an ALE state. Assuming mismatch. WARNING: class_minimum ACL is used in context without an ALE state. Assuming mismatch.

Вот сам конфиг

Аутентификация Kerberos

auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -s HTTP/squid.domen.ru -k /etc/squid/squid.keytab auth_param negotiate children 160 startup=0 idle=1 auth_param negotiate keep_alive on

Интерфейсы прокси сервера

http_port 10.10.99.99:3128 http_port 127.0.0.1:3128

Подсеть компании

acl localnet src 10.10.0.0/17

Забираем группы для назначения скоростей из AD

external_acl_type class_maximum ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g maximum@DOMEN.RU -D DOMEN.RU -S DC-IPA.DOMEN.RU

external_acl_type class_medium ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g medium@DOMEN.RU -D DOMEN.RU -S DC-IPA.DOMEN.RU

external_acl_type class_minimum ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g minimum@DOMEN.RU -D DOMEN.RU -S DC-IPA.DOMEN.RU

Alias

acl class_maximum external class_maximum

acl class_medium external class_medium

acl class_minimum external class_minimum

Доступы к ресурсам

external_acl_type allow_social_net ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g social_net@DOMEN.RU -D DOMEN.RU -S DC-IPA.DOMEN.RU external_acl_type allow_shops ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g shops@DOMEN.RU -D DOMEN.RU -S DC-IPA.DOMEN.RU

Alias

acl social_net external allow_social_net # LDAP Group External Access acl shops external allow_shops # LDAP Group External Access

Списки внешних ресурсов

acl white_social_net url_regex -i «/etc/squid/lists/soc.net.list» для внешних коммуникаций acl white_shops url_regex -i «/etc/squid/lists/shops.list» Для закупок

Черный список сайтов и доменов

acl black_deny url_regex -i «/etc/squid/lists/lock_sites» Список вирусных и заблокированных сайтов acl domain_deny dstdomain «/etc/squid/lists/lock_domain»

Порты

acl port_allowed port 80 # Port HTTP acl port_allowed port 443 # Port HTTPS

Delay_pools http_access allow class_maximum http_access allow class_medium
http_access allow class_minimum

delay_pools 3 Количество пулов

delay_class 1 1 delay_parameters 1 1875000/1875000
delay_access 1 allow class_maximum delay_access 1 deny all

delay_class 2 3 delay_parameters 2 1000/1000 1000/1000 1000000/1000000
delay_access 2 allow class_medium delay_access 2 deny all

delay_class 3 3 delay_parameters 3 500000/500000 500000/500000 500000/500000
delay_access 3 allow class_minimum delay_access 3 deny all

Доступы

http_access allow localhost http_access deny !port_allowed
http_access deny !social_net white_social_net http_access deny !shops white_shops http_access deny black_deny http_access deny domain_deny

Кто не состоит ни в одной из описанных нами групп, запретить доступ ко всем веб-сайтам.

http_access deny all

←	owncloud где задается интервал автозагрузки фото, видео с телефона?

openvswitch bridge, vlan

→

В delay_access нельзя использовать «slow acl».

гуглить «Squid delay_access with external acl»

vel ★★★★★
(01.03.24 16:29:30 MSK)

Ответ на: комментарий от vel 01.03.24 16:29:30 MSK

Не первый день перечитываю все статьи по настройке, для пятого сквида нашел annotate_transaction, но четвертый эти правила не понимает. А в третьем сквиде все в лоб external acl в delay_access прописывают и все работает. Про четвертый вообще ничего нет по этому поводу.

kolbas986
(02.03.24 17:14:27 MSK) автор топика

Ответ на: комментарий от kolbas986 02.03.24 17:14:27 MSK

4.x - это странная переходная версия в которой была куча переделок.

Есть смысл либо остаться на 3.х или уйти на 5.x или на 6.x

Или попробовать Squid - delay pools - slow acl (комментарий)

vel ★★★★★
(02.03.24 17:48:19 MSK)

Ответ на: комментарий от vel 02.03.24 17:48:19 MSK

Ограничен main репозиторием астры, по вашей ссылке попробую сделать в понедельник.

kolbas986
(03.03.24 08:20:47 MSK) автор топика

Ответ на: комментарий от kolbas986 03.03.24 08:20:47 MSK

оставил конфиг в таком виде external_acl_type class_minimum %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -d -g minimum@DOMEN.RU -D DOMEN.RU -S DC-IPA.DOMEN.RU

acl g_minimum external class_minimum

request_header_add X-DPool pool3 g_minimum

acl delay_pool_class_minimum req_header X-DPool pool3

delay_pools 1

delay_class 1 4

delay_access 1 allow delay_pool_class_minimum

delay_access 1 deny all

delay_parameters 1 -1/1 -1/1 -1/1 1875000/1875000

делаю squid -k parse

sudo squid -k reconfigure

Ошибок не находит, но никуда и не пускает

kolbas986
(04.03.24 15:49:06 MSK) автор топика

←	owncloud где задается интервал автозагрузки фото, видео с телефона?

Admin

openvswitch bridge, vlan

→

Похожие темы