1.1, andrey (??), 11:41, 11/02/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
у меня почти тоже самое только группы posixGroup из LDAP
и external_acl я переписал на сишник в свое время. | |
1.2, Comatoz (?), 09:31, 12/02/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
C нулевым временем жизни winbind при большом количестве пользователей (>200) ложится контроллер домена.
Проверено временем... | |
1.6, Sergei (??), 10:00, 19/02/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Самое гнусное во всем этом то, что external acl до сих пор нельзя прикрутить к http_reply_access. Т.е. нельзя разделить кому _в домене_ можно скачивать mp3 и слушать радио, а кому нет. Это делается только по url_regex, urlpath_regex или по ip, а это ненадежно. В инете полно ссылок "скачайте, потом переименуйте в ...". Так и приходится юзать ISA для статистики и фильтров, а сквид только в режиме кэша без acl. | |
1.7, MVictorL (ok), 11:09, 28/02/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А можно узнать в чём ошибка "родного" wbinfo_group.pl?
(у меня как бы всё работает...) | |
1.8, Мишин Дмитрий (?), 09:43, 06/03/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
#Здесь описываем внешие ACL
external_acl_type InetGroup-proxy-08-20ww %LOGIN /usr/local/squid/libexec/wbinfo_group.pl
# accesse in internet in work week from 08-00 to 20-00
external_acl_type InetGroup-proxy-08-20aw %LOGIN /usr/local/squid/libexec/wbinfo_group.pl
# accesse in internet in all week from 08-00 to 20-00
external_acl_type InetGroup-proxy-00-24all %LOGIN /usr/local/squid/libexec/wbinfo_group.pl
# accesse in internet in all week from 00-00 to 24-00
А, по-моему, нет необходимости три раза прописывать. Достаточно написать
external_acl_type InetGroup-proxy %LOGIN /usr/local/squid/libexec/wbinfo_group.pl
и проверку на принадлежность к группе проводить через нее | |
|
2.9, Nichls (??), 18:00, 26/03/2007 [^] [^^] [^^^] [ответить]
| +/– |
Прописано трижды, т.к. проверка идет по трем группам в домене:
proxy-08-20ww - доступ с 8 до 20 work week
proxy-08-20aw - доступ с 8 до 20 all week
proxy-00-24all - доступ круглосуточно
В зависимости от членства в группе у пользователя работает интернет в разное время. | |
|
3.10, MVictorL (??), 18:10, 28/03/2007 [^] [^^] [^^^] [ответить]
| +/– |
>Прописано трижды, т.к. проверка идет по трем группам в домене:
>proxy-08-20ww - доступ с 8 до 20 work week
>proxy-08-20aw - доступ с 8 до 20 all week
>proxy-00-24all - доступ круглосуточно
>
>В зависимости от членства в группе у пользователя работает интернет в разное
>время.
А средствами Squid нельзя время доступа определять?
acl aclname time [day-abbrevs] [h1:m1-h2:m2]
# day-abbrevs:
# S - Sunday
# M - Monday
# T - Tuesday
# W - Wednesday
# H - Thursday
# F - Friday
# A - Saturday
# h1:m1 must be less than h2:m2 | |
|
4.11, MVictorL (??), 18:12, 28/03/2007 [^] [^^] [^^^] [ответить]
| +/– |
Кстати, кто-нибудь ответит мне, в чём же всё-таки ошибка "родного" wbinfo_group.pl??? | |
4.12, Nichls (??), 11:11, 31/03/2007 [^] [^^] [^^^] [ответить] | +/– | Внимательно читаем Разграничиваем доступ по времени acl work-week time MTWHF ... большой текст свёрнут, показать | |
|
5.13, MVictorL (??), 15:45, 02/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
>Внимательно читаем:
>. . .
>Перевожу на доступный язык.
>. . .
>И опять внимательно читаем:
># Собираем все в кучу и проверяем на предмет получения дуступа к
>. . .
>С Уважением, Александр.
Ok! Ok!
Не надо так нервничать!
Меня больше волнует какие "грабли" обнаружены в wbinfo_group.pl | |
|
6.14, reType (?), 06:48, 23/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
Что стоит сравнить предложенный скрипт с оригинальным из поставки?
Или это уже не оригинально - делать что-то руками?
Там вроде не все в порядке с группами, у которых в имени пробелы... | |
|
|
|
|
|
1.15, Snake (??), 10:57, 14/09/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
я так понимаю что данная схема не будет работать с транспарентым сквидом?
| |
1.18, Nadya (ok), 17:37, 10/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Доброго времени суток.
У меня вопрос про такой. Изменив пользователю группу в AD или удалив из группы не применяются параметры сразу
т.е в AD удаляю (допустим) из группы, делаю на сквиде
/etc/init.d/squid reload && tail -f /var/log/squid/cache.log
он выдает, что пользователь остался в той группе, из которой удалила его. По совету Nichls изменяла конфиг сквида
external_acl_type AD_Users ttl=5 %LOGIN /usr/lib/squid/wbinfo_group.pl
и самбы
winbind cache time = 0
Не помогает, релоад конфигурации тоже. Помогает только stop start демона свкида.
Необходимо прописать время, через которое будет обновляться игра по группам из AD.
п.с. Если такое обсуждалось - извиняйте, нашла ответ в этой статье, но не помогло.
Надежда.
| |
|
2.19, MVictorL (??), 21:13, 10/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Не помогает, релоад конфигурации тоже. Помогает только stop start демона свкида.
>
>Необходимо прописать время, через которое будет обновляться игра по группам из AD.
>
>
>п.с. Если такое обсуждалось - извиняйте, нашла ответ в этой статье, но
>не помогло.
>Надежда.
Думаю, никто ничего не посоветует, т.к. это "проблема" чисто squid'а.
При релоаде перечитывается конфигурационный файл, а при стоп/старте выполняются заново все необходимые запросы, в том числе и к AD...
| |
2.20, Nichls (??), 22:59, 10/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Не помогает, релоад конфигурации тоже. Помогает только stop start демона свкида.
>
Привет.
Странно.
winbind cache time = 0 именно из-за этой проблемы и прописывал.
PS
Если меняю конфиг - то через релоад конфигурации.
Если выбрасываю из группы - через stop/start демона.
| |
|
1.21, Nadya (ok), 09:37, 11/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Спасибо большое MVictorL и Nichls! Значит больше не буду тратить время на решение этой проблемы)) Ибо проблемы нет, как таковой.
значит буду ребутить демон сквида.
| |
|
2.23, Дмитрий (??), 11:57, 09/07/2009 [^] [^^] [^^^] [ответить]
| +/– |
Так и не понял, как добиться вывода в лог.
Но с основной проблемой разобрался - была такая ошибка, стояло
http_access allow allusers ppsrc
сделал
http_access allow slowgroup ppsrc
http_access allow fastgroup ppsrc
и разграничение заработало.
| |
|
1.24, Кирилл (??), 18:04, 10/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Автор всего этого безобразия не отобразил external_acl_type в acl. После этого непонятно, чего он пляски с бубном тут устраивает.
| |
|