LINUX.ORG.RU
ФорумAdmin

Схемы авторизации в squid


0

0

Здравствуйте, имею следующий вопрос о том, как лучше организовать авторизацию пользователей в squid. Сейчас авторизация идет через basic хелпер ncsa. Возникла необходимость разбить пользователей на группы и раздавать инет согласно группам. Если сделать примерно так:

#Autentification
auth_param basic program /usr/squid/libexec/ncsa_auth /usr/squid/etc/passwd
auth_param basic children 15
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

acl user_url dstdomain .domain1.com
acl sec_url dstdomain .domain2.com

acl group_admins proxy_auth user1 user4 REQUIRED
acl group_users proxy_auth user2 REQUIRED
acl group_sec proxy_auth user3 REQUIRED

#HTTP Access
http_access allow manager localhost
http_access deny manager

http_access allow group_admins
http_access allow group_users user_url
http_access allow group_sec sec_url

Имхо тут плохо то, что proxy_auth здесь больше одного раза и squid будет терзать хелпер до появления первого OK - хотелось бы узнать, а вообше можно ли так делать, когда proxy_auth упоминается больше 1-го раза - не повлияет ли это на стабильность и т.д. Еще при использовании такой схемы был замечен глюк в IE7 -при попытке зайти куда либо спрашивает пароль 3 раза, потом пускает, возможно тоже из-за 3 proxy_auth, хотя в FF такого не замечено.
Или же есть еще 1 схема:

acl mydomain_site dstdomain .mydomain.ru
external_acl_type unix_group %LOGIN /usr/squid/libexec/check_group
acl auth proxy_auth REQUIRED
acl inet_full external unix_group inet-full
acl inet external unix_group inet

http_access allow auth mydomain_site
http_access allow inet_full
http_access allow inet user_url

Тут уже proxy_auth один раз, но неудобство в том, что приходись заводить пользователей дважды - в /etc/passwd и в passwd squid'а. И с этой схемой глюков с IE не замечено. В общем, хотелось бы выяснить, какая схема лучше. Сам склоняюсь к первой, т.к. проще пользователей заводить.....

> acl group_admins proxy_auth user1 user4 REQUIRED > acl group_users proxy_auth user2 REQUIRED > acl group_sec proxy_auth user3 REQUIRED

Убери REQUIRED! REQUIRED нужен для того чтобы логины в acl не писать. а так у тебя получается, что в группу входят все кто успешно залогинелся.

По поводу разделения- 1 вариант лучше (легче админить). 2 вариант не имеет смысла. Он имел бы успех если ты к примеру контролировал доступ через MS Active Directory, LDAP.

amfibrahii
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.