forum.opennet.ru - "Подскажите по Squid." (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Подскажите по Squid."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Подскажите по Squid."
Сообщение от Saler on 12-Окт-06, 10:34
Squid авторизуется в домене 2003, в зависимости от группы в домене в которую входит пользователь свои ограничения(группа inet_users разрешает доступ ). Сделал группу для доступа только к одному сайту (http://www.tender.mos.ru/) создал acl....всё работает, то есть пользователь входящий в группу inet_apt_tender ничего не может открыть кроме одного сайта, но при открытие этого сайта, IE постоянно запрашивает авторизацию,сам сайт грузится нормально, подозреваю что этот сайт пытается тянуть еще что то с других, окошко с авторизацией ужасно раздражает всех, подскажите как избавится от этого окна? Не хочется выяснять куда лезет еще этот сайт и делать acl для них :( либо давать полный доступ.... auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="xxx+inet_users" auth_param ntlm children 10 external_acl_type ext_inet_apt_tender %LOGIN /usr/local/libexec/squid/wbinfo_group.pl acl inet_users proxy_auth REQUIRED acl s_inet_apt_tender external ext_inet_apt_tender inet_apt_tender acl tender_apt dst 82.138.62.126 http_access allow inet_users s_inet_apt_tender tender_apt http_access deny s_inet_apt_tender http_access allow inet_users http_access deny all
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Подскажите по Squid., vozd, 11:57 , 12-Окт-06, (1)

Подскажите по Squid., Saler, 13:18 , 12-Окт-06, (2)

Сообщения по теме [Сортировка по времени, UBB]

1. "Подскажите по Squid."

Сообщение от vozd on 12-Окт-06, 11:57

>Squid авторизуется в домене 2003, в зависимости от группы в домене в
>которую входит пользователь свои ограничения(группа inet_users разрешает доступ ). Сделал группу
>для доступа только к одному сайту (http://www.tender.mos.ru/) создал acl....всё работает, то
>есть пользователь входящий в группу inet_apt_tender ничего не может открыть кроме
>одного сайта, но при открытие этого сайта, IE постоянно запрашивает авторизацию,сам
>сайт грузится нормально, подозреваю что этот сайт пытается тянуть еще что
>то с других, окошко с авторизацией ужасно раздражает всех, подскажите как
>избавится от этого окна? Не хочется выяснять куда лезет еще этот
>сайт и делать acl для них :( либо давать полный доступ....
>
>
>auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="xxx+inet_users"
>auth_param ntlm children 10
>
>external_acl_type ext_inet_apt_tender %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
>acl inet_users proxy_auth REQUIRED
>acl s_inet_apt_tender external ext_inet_apt_tender inet_apt_tender
>acl tender_apt dst 82.138.62.126
>
>http_access allow inet_users s_inet_apt_tender tender_apt
>http_access deny s_inet_apt_tender
>http_access allow inet_users
>http_access deny all
Для Сквида весия 2.6 собираешь с опциями - '--enable-auth=ntlm' '--enable-ntlm-auth-helpers=SMB' '--enable-external-acl-helpers=wbinfo_group'
Также прийдётся собрать Самбу. Ты используешь хелпер от Сквида, а лучше использовать Самбовский. Поищи в форуме инфу типа Авторизация в Win2k. там будет описано, как правильно авторизироваться и получать группу средствами самба.
В конфиге сквида добавишь
auth_param ntlm program /usr/local/samba/bin/ntlm_auth \ --helper-protocol=squid-2.5-ntlmssp --require-membership-of="1csrvwProxy_World"
auth_param ntlm children 5
auth_param ntlm keep_alive on
где 1csrvw - домэн (рабочая группа), Proxy_World - группа, в которую включены пользователи для доступа в нэт. ACL настроить тоже прийдётся, где указать нужно Proxy_World.
Проблемы, которые возникают при такой реализации - так как авторизация будет проходить прозрачно, используя протокол ntlm (пользователь залогинился в домэне и получает доступ), то есть при выходе в мир не требуется пароля, то если у тебя даунлоадер не поддерживает этот протокол то и закачать не получится, так как будет всегда вылетать просьба авторизации, а вот средствами броузера - всё отлично. Можешь изменить параметр с --enable-auth=ntlm на --enable-auth=basic, тогда при выхолде в инэт будет спрашиваться пароль доменный один раз и качалка тогда сможет работать нормально, так как происходит процес авторизации ручками.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Подскажите по Squid."

Сообщение от Saler on 12-Окт-06, 13:18

Хм..видимо я криво объяснил, у меня всё работает с самбой и авторизация проходит через логин в домене и больше пароль не спрашивает когда серфингом по сайтам занимаешься....и различные группы есть ограниченные по скорости и по контенту...но вот появилась необходимость
Проблема именно возникает когда хочешь разрешить определенной группе открывать только одну сстраницу в инете, и он её нормально открывает, но как я подозреваю поскольку эта страница ссылается на другие(на которые доступ закрыт) то всплывает окно авторизации в интернет эксплорере....вопрос как от него избавиться?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Подскажите по Squid."
Сообщение от vozd on 12-Окт-06, 11:57
>Squid авторизуется в домене 2003, в зависимости от группы в домене в >которую входит пользователь свои ограничения(группа inet_users разрешает доступ ). Сделал группу >для доступа только к одному сайту (http://www.tender.mos.ru/) создал acl....всё работает, то >есть пользователь входящий в группу inet_apt_tender ничего не может открыть кроме >одного сайта, но при открытие этого сайта, IE постоянно запрашивает авторизацию,сам >сайт грузится нормально, подозреваю что этот сайт пытается тянуть еще что >то с других, окошко с авторизацией ужасно раздражает всех, подскажите как >избавится от этого окна? Не хочется выяснять куда лезет еще этот >сайт и делать acl для них :( либо давать полный доступ.... > > >auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="xxx+inet_users" >auth_param ntlm children 10 > >external_acl_type ext_inet_apt_tender %LOGIN /usr/local/libexec/squid/wbinfo_group.pl >acl inet_users proxy_auth REQUIRED >acl s_inet_apt_tender external ext_inet_apt_tender inet_apt_tender >acl tender_apt dst 82.138.62.126 > >http_access allow inet_users s_inet_apt_tender tender_apt >http_access deny s_inet_apt_tender >http_access allow inet_users >http_access deny all Для Сквида весия 2.6 собираешь с опциями - '--enable-auth=ntlm' '--enable-ntlm-auth-helpers=SMB' '--enable-external-acl-helpers=wbinfo_group' Также прийдётся собрать Самбу. Ты используешь хелпер от Сквида, а лучше использовать Самбовский. Поищи в форуме инфу типа Авторизация в Win2k. там будет описано, как правильно авторизироваться и получать группу средствами самба. В конфиге сквида добавишь auth_param ntlm program /usr/local/samba/bin/ntlm_auth \ --helper-protocol=squid-2.5-ntlmssp --require-membership-of="1csrvwProxy_World" auth_param ntlm children 5 auth_param ntlm keep_alive on где 1csrvw - домэн (рабочая группа), Proxy_World - группа, в которую включены пользователи для доступа в нэт. ACL настроить тоже прийдётся, где указать нужно Proxy_World. Проблемы, которые возникают при такой реализации - так как авторизация будет проходить прозрачно, используя протокол ntlm (пользователь залогинился в домэне и получает доступ), то есть при выходе в мир не требуется пароля, то если у тебя даунлоадер не поддерживает этот протокол то и закачать не получится, так как будет всегда вылетать просьба авторизации, а вот средствами броузера - всё отлично. Можешь изменить параметр с --enable-auth=ntlm на --enable-auth=basic, тогда при выхолде в инэт будет спрашиваться пароль доменный один раз и качалка тогда сможет работать нормально, так как происходит процес авторизации ручками.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Подскажите по Squid."
	Сообщение от Saler on 12-Окт-06, 13:18
	Хм..видимо я криво объяснил, у меня всё работает с самбой и авторизация проходит через логин в домене и больше пароль не спрашивает когда серфингом по сайтам занимаешься....и различные группы есть ограниченные по скорости и по контенту...но вот появилась необходимость Проблема именно возникает когда хочешь разрешить определенной группе открывать только одну сстраницу в инете, и он её нормально открывает, но как я подозреваю поскольку эта страница ссылается на другие(на которые доступ закрыт) то всплывает окно авторизации в интернет эксплорере....вопрос как от него избавиться?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]