Squid + freeradius + mysql

В смысле? Что не так?

Не очень удобно то, что один пользователь имея один логин\пароль, может дать его ещё кому-то и они оба одновременно могут под ними «сидеть». Т.е. допустим, я нахожусь за одним ПК, отхожу в к другому, ввожу такие же логин\пароль и на нём тоже авторизация проходит. Т.е. одновременно одну пару логин\пароль можно использовать на каком угодно количестве ПК.

можно через iptables привяязать мак к айпи адресу и выбросить юзернэйм авторихацию.

1) Лимит на трафик на пользователя. Отбивает желание делиться логином, но вариант так себе.

2) Авторизация по IP. Вариант тоже не совсем, так как тогда надо как-то прибивать гвоздями рабочее место к пользователю.

3) Использовать какие-либо авторизационные токены. Вопрос также на 100% не решит, токен можно одолжить.

В общем случае, проблема организационная, и решать её нужно организационно.

>1) Лимит на трафик на пользователя. Отбивает желание делиться логином, но вариант так себе.

Это даже скорее своеобразный костыль :)

2) Авторизация по IP. Вариант тоже не совсем, так как тогда надо как-то прибивать гвоздями рабочее место к пользователю.

Часть ПК за NAT'ом.

3) Использовать какие-либо авторизационные токены. Вопрос также на 100% не решит, токен можно одолжить.

Т.е. писать свой костыль, что тоже не очень хочется.

Ок. Тогда кто либо может подсказать, есть ли для squid ещё вариант авторизации лишённый данного недостатка?

1. На сквид юзер не логинится

На этом можно тред заканчивать. Но если ты не хочешь по-хорошему, то отберу вазелин:

2. Перед юзером может стоит прямо на столе два компьютера. И это его компьютеры.

Всё, тред точно можно заканчивать. Не трахай моск людям, введи в правилах, под которыми расписывается юзер, запрет на передачу логина и пароля третьим лицам под страхом анальной кары.

Это уже скорее вопрос принципа и интереса. Я не ищу лёгких путей.

в радиусе Simultaneous-Use := 1 пробовал?

Я тебе и ответил - у тебя постановка вопроса В ПРИНЦИПЕ неправильна. На пальцах пример, более близкий и из реальной жизни.

Юзер сидит на своей рабочей станции, запускает браузер, вводит логин-пароль когда прокся запросит и лазит по своим быдловконтактам.

Тут приходит его БН (большой начальник) и вставляет юзеру звездюлей.

Юзер вспоминает что он еще и работать должен, и кидается в свой «Консультант+», установленый на сервере терминалов. Пробегается по документам, и кликает пункт «Дополнительная информация» под текстом закона.

Юзеру выскакивает браузер который идет на какой-нибудь Addons.Consultant.Ru, причем браузер запущен где? На сервере терминалов!

В результате надо обслуживать легитимные коннекты с ДВУХ разных хостов.

Говорю еще раз - у тебя постановка _по_определению_ содержит ошибку.

>в радиусе Simultaneous-Use := 1 пробовал?

Нет. Окажусь возле компа, попробую. Спасибо.

>Говорю еще раз - у тебя постановка _по_определению_ содержит ошибку.

Это не корпоративная прокся. Там нет тучи хомячков которые должны работать, но вместо это сидят в быдлосоцсетях. Данный прокси сервер используется под другие нужды. Не совсем стандартные даже.

less /etc/squid/squid.conf

acl aclname max_user_ip [-s] number

This will be matched when the user attempts to log in from more than <number> different ip addresses. The authenticate_ip_ttl parameter controls the timeout on the ip entries. If -s is specified the limit is strict, denying browsing from any further IP addresses until the ttl has expired. Without -s Squid will just annoy the user by «randomly» denying requests. (the counter is reset each time the limit is reached and a request is denied)

Оно?

>Оно?

Иногда пользователи логинятся из-за NAT'а, но оно тоже пригодится. Спасибо :)