LINUX.ORG.RU
НовостиOpen Source

Squidward для SQUID3

 , , ,


1

4

Squidward позволяет управлять правилами доступа прокси-сервера Squid с помощью веб-интерфейса. При необходимости с помощью Squidward можно делегировать право управления доступом сотрудников в подразделения компании отдельным администраторам. Деление организации на подразделения осуществляется посредством привязки подсетей.

При использовании многоядерного или нескольких процессоров на высоконагруженном сервисе применение Squidward существенно снижает нагрузку на CPU путем перераспределения нагрузки на вычисления ACL на сторону сервера БД MySQL благодаря вспомогательной программе (external_acl_type), входящей в состав Squidward. Изначально Squidward разрабатывался для внутренних нужд крупной компании и на текущий момент имеет большое количество успешных внедрений.

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: cetjs2 (всего исправлений: 3)

1 2
Ответ на: комментарий от iNadya

В целом, штука интересная.. Но разделение OU по подсетям - как минимум, маразм.. Нафига вы тады интеграцию с AD прикручивали?

anonymous
()
Ответ на: комментарий от anonymous

Поясню: в 99% случаев требуется разделение не по подсетям, а по уже существующим в AD группам пользователей, в крайнем случае, по спискам этих пользователей, которые берутся из AD. И распознавание должно идти по имени пользователя, поскольку IP или подсеть могут изменяться в зависимости от физического расположения ПК, как чаще всего и бывает.

anonymous
()
Ответ на: комментарий от anonymous

Разделение по подсетям потому, что у нас прокси на всю страну, каждая подсеть с маской 8 это область/регион вот и делегировали местному админу, а группы пользователей ведем не в AD, а сразу в squidward. Интеграции с AD как таковой нет вы может интегрировать с чем угодно, с любой службой IDM в вашей организации.

sonic
() автор топика
Ответ на: комментарий от anonymous

в общем случае нужно создать всего одно OU

sonic
() автор топика
Ответ на: комментарий от sonic

Данная концепция родилась не сразу, а вынашивалась практикой пару лет. В первоначальном варианте вся конфигурация экспортировалась в текстовый конфиг и далее инклудилось все в сквид.конфе. Были большие проблемы, сквид выедал одно ядро на 100% и все. Когда вынесли вычисление regex на сторону MySQL стало сразу все лучше, он быстрее вычисляет их прям запросом, кеширует, а главное умеет хорошо расползаться по ядрям. То, что хелпер написан на php тормознутости не добавляет, он очень маленький, его за 10 мин можно переписать на что угодно, основная нагрузка ложится на MySQL.

Дружище, я это реализовывал в начале 2008. Что и предлагал разработчикам SAMS, http://www.permlug.org/node/3641.

Перевод SQUID на внешний «полу-наколенный» хелпер MYSQL дал тот самый выгрыш по производительности для 3 тыс. пользователей, с распределением квот. Нагрузка упала с 100% и тормозов до ~10%. Плюс появилось динамическое управление доступом, без реконфигурации сквида.

Так что ты на правильном пути.

Ej_Pulsar
()
Последнее исправление: Ej_Pulsar (всего исправлений: 2)
Ответ на: комментарий от iNadya

Надька, сиски покажи, а то совсем тред скатился в унылие и безпросветность.

anonymous
()
Ответ на: комментарий от nixargh

Если бы сюда добавить некоторые возможности и статистику, при этом не породив монстра, то было бы чудесно.

Для этого оно уже как есть. cacti?

hbars ★★★★★
()
Ответ на: комментарий от hbars

Для этого оно уже как есть. cacti?

Для меня как для администратора вполне достаточно сквида с его текстовым конфигом + sarg или lightsquid. Но есть потребность иметь простую морду из которой можно править списки доступных/недоступных ресурсов + статистика, которую можно отдать клиенту или сапорту клиента, чтоб они сами там ковырялись при необходимости. Это позволяет избавиться от кучи мелких запросов конфигурации. Но это должен быть единый интерфейс, это и так слишком сложная задача, для тех кто будет ковырять.
Сморел на sams 2, но нет, в нынешнем состоянии он скорее добавит проблем, чем решит их.

nixargh
()
Ответ на: комментарий от nixargh

Для меня как для администратора вполне достаточно сквида с его > текстовым конфигом + sarg или lightsquid. Но есть потребность > иметь простую морду из которой можно править списки доступных/ недоступных ресурсов + статистика, которую можно отдать клиенту или сапорту клиента, чтоб они сами там ковырялись при необходимости. Это позволяет избавиться от кучи мелких запросов конфигурации. Но это должен быть единый интерфейс, это и так слишком сложная задача, для тех кто будет ковырять.

Сморел на sams 2, но нет, в нынешнем состоянии он скорее добавит проблем, чем решит их.

Поставить Squidward+Lightsquid, подключить Lightsquid к Squidward в файле /var/www/html/squidward/modules.php $admin_modules[«Статистика LightSquid»]=«/lightsquid/»;

sonic
() автор топика
Ответ на: комментарий от sonic

Поставить Squidward+Lightsquid, подключить Lightsquid к Squidward в файле /var/www/html/squidward/modules.php $admin_modules[«Статистика LightSquid»]=«/lightsquid/»;

Спасибо за подсказку. Но опять же всё упирается в необходимость привязки acl к группам из AD.
Т.е. идеальный с моей точки зрения вариант:

  • Список к кому применять - это группа в AD. Правится там же, такое право можно делегировать кому-то.
  • Список что разрешено каждой группе (не только regex url-ов) правится через вебморду. Нужна возможность групировать acl и выбирать кто их может изменять.
  • Статистика в той же морде или рядом (ваш вариант). Так же возможность указать, кто какую статистику может видеть.
  • Желательно аудит с возможностью сформировать отчёт, кто что изменял.

Есть кстати некоторые решения на базе squid имеющие как платную, так бесплатную версии с разным функционалом. Пока они производят впечатление жутких монстров, но может это только на первый взгяд :)

nixargh
()
27 марта 2014 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Open Source