SQUID, группы, доступ к определённым ресурсам

Есть SQUID 2.6.STABLE18.
Предполагается три группы пользователей.
Группа 1 - доступ только к ресурсам домена 1.
Группа 2 - доступ только к ресурсам домена 2.
Группа 3 - доступ к Интернету без ограничений.

Как разрешить конкретный ресурс только одной группе пользователей - пример известный.
Как сделать, чтобы только тот же ресурс был доступен той же группе пользователей и тот же ресурс был доступен группе пользователей, на которую ограничения по доступу не накладываются - не понятно :(

squidGuard

Простите не совсем понял задачу.
Контроль доступа довольно просто настраивается при помощи squidGuard'а

SquidGuard

SquidGuard избыточен и заточен немного под другое (по крайней мере насколько я понял).

Вопросы:
1. Почему когда пишу как из примера:
http_access deny google !ldapgroup-googleallowed
работает. Но когда пробую писать:
http_access allow google ldapgroup-googleallowed
правило не работает.
2. Почему при попытке добавления acl'а, использующего external_acl_type ldapgroup - всё нормально. Но при попытке добавления второй группы - ошибка конфигурации?

--
Live free or die

1. как, в каком

1. как, в каком порядке, объявляются эти правила
Правила списков доступа проверяются в порядке их объявления. Поиск по списку прекращается, как только одно из правил совпадает - может быть в этом дело

2. с external acl's я не разбирался. определенного сказать ничего не могу.
но в Squid FAQ есть полезный совет:

"10.9 Я установил собственные контроли доступа, но они не работают! Почему?

Если ACL-лы - причина ваших проблем и вы не знаете почему они не работают, вы можете воспользоваться этой инструкцией, чтобы отладить их.

В squid.conf включите отладку для секции 33 на уровне 2. К примеру:

debug_options ALL,1 33,2

Потом перезапустите Squid.

Теперь, ваш cache.log должен содержать строку для каждого запроса, которая поясняет запрещен или разрешен запрос и с каким ACL он совпал.

Если это не дало вам достаточно информации, чтобы избавиться от проблемы, вы можете также включить детальную отладку процесса обработки ACL

debug_options ALL,1 33,2 28,9

Перезапустите Squid.

Теперь ваш cache.log должен содержать детальную трассировку всего процесса контроля доступа. Будте внимательны, на каждый запрос будет по несколько строк.

См. также 11.20 Отладка Squid"

Документацию

Документацию по сквиду читал. :)
Ничего нового или интересного по теме.
Приведённую рекомендацию естественно выполнил.
Вот только эффект стремится к нулю. До Acl'ов дело не доходит, единственная строчка в cache.log по теме - это squid_ldap_group WARNING, User 'test' not found in 'ou=Users,dc=mydomain,dc=ru'
Мой вывод: данная фича не тестировалась, не отлажена и фактически неработоспособна. И это явно неспроста...
Пошёл смотреть как реализована работа с LDAP'ом в squidGuard.

--
Live free or die

Формат

Формат объявления LDAP-сервера в squidguard.conf совершенно непонятен.
Если писать как рекомендуют на официальном сайте:

ldapbinddn     cn=root, dc=example, dc=com
 ldapbindpass   myultrasecretpassword

 # ldap cache time in seconds
 ldapcachetime  300

 src my_users { 
     ldapusersearch  ldap://ldap.example.com/cn=squidguardusers,ou=groups,dc=example,dc=com?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))
  }

То совершенно непонятно:
1. В каком виде он хочет видеть пароль.
2. Если закомментировать строку с паролем, то пишет в лог ошибку на строку объявления LDAP-сервера.

--
Live free or die

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".