LINUX.ORG.RU
ФорумAdmin

squid + авторизация по группам в домене Win2003


0

0

Приветствую..

появилась небольшая проблемка после реализации задачи: надо было поставить сквид с самбой что бы виндовые юзвери могли через сквид гулять по интернету, но лишь те кто находиться в нужной группе.

реализовал с помощь самбы и сквида, все работает как часики, все путем. но вот вспомнил что те кто не может идти в инет через сквид, должен все таки иметь доступ к локальным и одному внешнему сайту... а вот это уже не получаеться..:

система freebsd 7 squid 2.7

вырезка конфига сквида:

auth_param ntlm program /usr/local/bin/ntlm_auth \ --helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 30

auth_param basic program /usr/local/bin/ntlm_auth \ --helper-protocol=squid-2.5-basic

auth_param basic children 4

auth_param basic realm Proxy-caching web server

auth_param basic credentialsttl 2 hours

acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255

acl localsites dstdomain \ "/usr/local/etc/squid/db/allow_sites.txt"

http_access allow localsites all

external_acl_type nt_group %LOGIN \ /usr/local/libexec/squid/wbinfo_group.pl

acl allowinternetaccess external nt_group allowinternetaccess #acl ninternet external nt_group ninternet #acl webinternet external nt_group webinternet acl GSC01 proxy_auth REQUIRED

acl SSL_ports port 443 563 acl SSL_for_client_banks port 910 8443 4500 acl safe_ports port 80 # http acl safe_ports port 21 # ftp acl safe_ports port 443 # ssl acl ICQ_ports port 5190 # ICQ acl CONNECT method CONNECT acl manager proto cache_object

acl deny_msn dstdomain \ "/usr/local/etc/squid/db/deny_msn.txt" #deny_info ERR_BAD_URL bad_url #deny_info ERR_BAD_NETWORKS bad_networks deny_info ERR_DENY_DOMAINS deny_msn

http_access allow manager localhost http_access deny manager http_access allow allowinternetaccess all #http_access deny ninternet all #http_access deny deny_msn #http_acees allow localsites all

deny_info ERR_INET_NO_ALLOW all http_access deny all

#sqstat configuration

acl manager proto cache_object acl webserver src 10.0.20.38/255.255.255.255 http_access allow manager webserver http_access deny manager

из конфига видно что юзеры из группы qllowinternetaccess имеют доступ к инету, однако все остальные должны иметь доступ к сайтам перечислиенным в acl localsites dstdomain \ "/usr/local/etc/squid/db/allow_sites.txt" ...

вот только не работает )) если ты не в группе allowinternetaccess то и ходить никуда не можешь.. понимаю что ошбика глупая но найти не могу.. от того и оброщаюсь с вопросом.

Заранее спасибо.

anonymous

Re: squid + авторизация по группам в домене Win2003

Какую ошибку пишет в лог сквид? Попробуй поднять правило для localsites выше всех запрещающих правил.

mutronix ★★★★ ()
Ответ на: Re: squid + авторизация по группам в домене Win2003 от mutronix

Re: squid + авторизация по группам в домене Win2003

ошибки нет, просто не пускает и все, в аксессе пишет что 403 для этого юзера и все тут..

правило localsites и так стоит первым.. т.е. последовательность правил в топике такая же как и в конфиге...

anonymous ()

Re: squid + авторизация по группам в домене Win2003

>acl localsites dstdomain \ "/usr/local/etc/squid/db/allow_sites.txt"

"\" - слэш не нужен. И проверь права на файл...

Morphine ()
Ответ на: Re: squid + авторизация по группам в домене Win2003 от Morphine

Re: squid + авторизация по группам в домене Win2003

\ есть так же и у deny_msn , права такие же.

но deny_msn работает а вот localsites нет!

права:

-rw-r--r-- 1 root squid 42 Dec 24 09:04 allow_sites.txt -rw-r--r-- 1 root squid 81 Dec 23 15:11 deny_msn.txt

anonymous ()

Re: squid + авторизация по группам в домене Win2003

можете подробнее описать как настраивали авторизацию?

ROMANEX ()

Re: squid + авторизация по группам в домене Win2003

vmsrvfreebsd# cat /usr/local/etc/smb.conf # SAMBA for SQUID

[global] log file = /var/log/samba/%m.%U.log display charset = koi8-r idmap gid = 10000-20000 winbind trusted domains only = yes encrypt passwords = true public = yes winbind use default domain = yes realm = GSC01.LOCAL template shell = /bin/csh netbios name = vmsrvfreebsd writeable = yes server string = Proxy server of GSC01.local idmap uid = 10000-20000 password server = * path = /usr/home/share dos charset = 866 template homedir = /usr/home/%D/%U workgroup = GSC01 comment = proxy file sharing security = ADS unix charset = koi8-r max log size = 50000

[printers] comment = All Printers path = /var/spool/samba printable = Yes browseable = No use client driver = yes public = No

таким образом авторизируемся самбой в домене.

vmsrvfreebsd# cat /usr/local/etc/krb5.conf [libdefaults] default_realm = GSC01.LOCAL

[realms] MYDOMAIN.LOCAL = { kdc = GSC01.LOCAL admin_server = GSC01.LOCAL }

[domain_realm] .local = GSC01.LOCAL local = GSC01.LOCAL

[logging] kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmin.log default = FILE:/var/log/krb5lib.log

таким образом мы входим в домен.. а дальше уже сквид, его конфиг чуть выше...

сделал chown squid:squid на /usr/local/etc/squid/db/allow_sites.txt и ребутнул сквид, но и это не помогло...

все по прежнему, если юзер не в группе allowinternetaccess то не имеет досутпа вообще никуда. (надо что бы был доступ к нижеперечисленным сайтам (взято к примеру))

vmsrvfreebsd# cat /usr/local/etc/squid/db/allow_sites.txt mail.ru http://www.drom.ru

по любой из этих ссылок мы имеем ошибку что доступ запрещен..

я понимаю что через Groep policy можно дать возможность ну читывать эти адреса и тогда юзвери пойдут на них минуя проксю, но это не есть выход.. прокся должна уметь выполнять эту задачу..

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.