LINUX.ORG.RU
ФорумAdmin

Авторизация SQUD+LDAP группы


0

0

Проблема такая. Если пользователь входит в две группы, для которых есть разные параметры в SQUID, то он выберает последнюю в списке или я ошибаюсь. Есть человек который входит в две группы с разными правами. Так вот, если в двух группах то выбирается не нужная мне, если в одной нужной то все нормально, если добавляю третью которая наже всех, то берется правило третьей. Ниже я имею ввиду если смотреть в винде список групп в которых состоит пользователь. КАК можно этим маникулировать не удаляя групп. Например группу с максимальными правами, или что то вроде этого. Поможет любая инфа. Запарился искать.

anonymous

Re: Авторизация SQUD+LDAP группы

Сам не смотрел, но скорее всего squid выбирает наиболее ограниченную группу. То Есть, если есть хоть одно ограничение - использовать его.

Мне кажется все-таки правильный путь - создать для такого пользователя отдельную группу с нужными ограничениями. А то, если честно, мне трудно представить ситуацию, в которой нужно было бы все решать именно таким путем, как у вас.

Или, если такая ситуация имеет место быть - написать Хенрику вопрос в списках рассылки squid. Детализировав его, ест-но.

Valmont ★★★ ()
Ответ на: Re: Авторизация SQUD+LDAP группы от Valmont

Re: Авторизация SQUD+LDAP группы

Добрый день.
Честно говоря я всегда считал наоборот - в момент авторизации идет проверка пользователя на предмет принадлежности конкретной группе и в случае первого нахождения все остальные поиски прекращаются. Тем самым приоритетной считается первая найденная группа.
т.е.
acl authusers proxy_auth REQUIRED
acl sarg-limit-users proxy_auth "/etc/squid/sarg-limit-users"
http_access deny sarg-limit-users
http_access allow authusers
http_access deny all

в результате чего если в течении дня пользователь перебрал больше нормы , он попадает в группу sarg-limit-users и прекращает свою работу.

Вывод всего этого - приоритетная группа должно стоять в начале конфига.
Других вариантов я не знаю.
squid пользую версии 2.5.9-10

av ()
Ответ на: Re: Авторизация SQUD+LDAP группы от av

Re: Авторизация SQUD+LDAP группы

Да, попутал. Попробуйте увеличить вербосность логов на acl.

И может быть имеет смысл посмотреть, как дело будет обстоять в 2.6.

Valmont ★★★ ()
Ответ на: Re: Авторизация SQUD+LDAP группы от av

Re: Авторизация SQUD+LDAP группы

По acl в логах можно же понять, на каком этапе squid принимает решение, где разрешить, где запретить. Для auth по-моему тоже можно увеличить вербосность, в исходниках squid'а или в доках был файлик про дебаг.

Valmont ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.