SQUID, группы, доступ к определённым ресурсам
Anarchist 31 марта, 2008 - 17:25
Есть SQUID 2.6.STABLE18.
Предполагается три группы пользователей.
Группа 1 - доступ только к ресурсам домена 1.
Группа 2 - доступ только к ресурсам домена 2.
Группа 3 - доступ к Интернету без ограничений.
Как разрешить конкретный ресурс только одной группе пользователей - пример известный.
Как сделать, чтобы только тот же ресурс был доступен той же группе пользователей и тот же ресурс был доступен группе пользователей, на которую ограничения по доступу не накладываются - не понятно :(
»
- Для комментирования войдите или зарегистрируйтесь
squidGuard
Простите не совсем понял задачу.
Контроль доступа довольно просто настраивается при помощи squidGuard'а
SquidGuard
SquidGuard избыточен и заточен немного под другое (по крайней мере насколько я понял).
Вопросы:
1. Почему когда пишу как из примера:
http_access deny google !ldapgroup-googleallowed
работает. Но когда пробую писать:
http_access allow google ldapgroup-googleallowed
правило не работает.
2. Почему при попытке добавления acl'а, использующего
external_acl_type ldapgroup
- всё нормально. Но при попытке добавления второй группы - ошибка конфигурации?--
Live free or die
1. как, в каком
1. как, в каком порядке, объявляются эти правила
Правила списков доступа проверяются в порядке их объявления. Поиск по списку прекращается, как только одно из правил совпадает - может быть в этом дело
2. с external acl's я не разбирался. определенного сказать ничего не могу.
но в Squid FAQ есть полезный совет:
"10.9 Я установил собственные контроли доступа, но они не работают! Почему?
Если ACL-лы - причина ваших проблем и вы не знаете почему они не работают, вы можете воспользоваться этой инструкцией, чтобы отладить их.
В squid.conf включите отладку для секции 33 на уровне 2. К примеру:
debug_options ALL,1 33,2
Потом перезапустите Squid.
Теперь, ваш cache.log должен содержать строку для каждого запроса, которая поясняет запрещен или разрешен запрос и с каким ACL он совпал.
Если это не дало вам достаточно информации, чтобы избавиться от проблемы, вы можете также включить детальную отладку процесса обработки ACL
debug_options ALL,1 33,2 28,9
Перезапустите Squid.
Теперь ваш cache.log должен содержать детальную трассировку всего процесса контроля доступа. Будте внимательны, на каждый запрос будет по несколько строк.
См. также 11.20 Отладка Squid"
Документацию
Документацию по сквиду читал. :)
Ничего нового или интересного по теме.
Приведённую рекомендацию естественно выполнил.
Вот только эффект стремится к нулю. До Acl'ов дело не доходит, единственная строчка в
cache.log
по теме - этоsquid_ldap_group WARNING, User 'test' not found in 'ou=Users,dc=mydomain,dc=ru'
Мой вывод: данная фича не тестировалась, не отлажена и фактически неработоспособна. И это явно неспроста...
Пошёл смотреть как реализована работа с LDAP'ом в
squidGuard
.--
Live free or die
Формат
Формат объявления LDAP-сервера в
squidguard.conf
совершенно непонятен.Если писать как рекомендуют на официальном сайте:
То совершенно непонятно:
1. В каком виде он хочет видеть пароль.
2. Если закомментировать строку с паролем, то пишет в лог ошибку на строку объявления LDAP-сервера.
--
Live free or die