Ivanovo Linux Users Group - Not logged in
Forum Help Search Login
Previous Next Up Topic Администрирование / Общее администрирование / SQUID acl+ntlm_auth (12969 hits)
- By slam Date 17.04.09 06:55 Edited 17.04.09 07:03
Есть win домен 2003, потихоньку перевожу некоторые сервисы на linux. Не буду разводить философию по поводу того: А почему везде винда и т.д... Вчера к вечеру настроил ntlm авторизацию в squid. Все круто работает, удобно, чтоб обламать (или дать) человеку инет достаточно убрать его членство в виндовой группе на контроллере домена. Прокси работает только у того, кто прошел авторизацию в домене, т.е. ни каких лишних логинов - паролей. В конфиге прописал:

auth_param ntlm  program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=MYDOMAIN.LOCAL\\internetusers
где MYDOMAIN.LOCAL\\internetusers - это группа internetusers домена MYDOMAIN.LOCAL
Проблема в том что не знаю как придумать хороший и умный редирект. Дело в том, что редиректить все что мне не нравится нельзя, у меня есть отдел рекламы и им нельзя резать рапиду, депозит, а остальным "смертным" режу все контакты, однокласники, собутыльники и пр.

Можно ли как ни то заюзать в acl что нибудь типа этого

/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=MYDOMAIN.LOCAL\\internetusers
чтоб пользователям определенных групп правила редиректа выставлялись по разному, а сами группы брались из хранилища домена ? В сети DHCP, поэтому по IP не получится разрулить.
Parent - By LOE (Site/forum admin) Date 17.04.09 17:40
А почему просто не заюзать редиректор? (тот-же режик)
Редиректору передается имя пользователя, на основании которого и можно настроить правила

Можно пойти дальше - по имени пользователя узнать группу, а по группе определить настройки редиректа.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Bercut Date 21.04.09 06:49
потому что он хочет юзать исключительно винду для разодминивания
и не лезть лишний раз в настройки прокси
я понятно абисняю
:-)
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 21.04.09 08:44
Кто сказал, что редиректор не может хранить свои настройки и данные в том-же LDAP? ;-)
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent By Bercut Date 21.04.09 08:58
а вот это попробуйте ...
я то не пробовал ;-)
да такой случай подойдет если какследует всё настрополить то будет хорошо, да ..
я то в свое время, давно однако, настраивал в сквиде авторизацию через домен, через винбинд правда. пришлос самбу перекомпиливать, все вроде работало,
но вот из за всяких маленьких косячков, типа нельзя разграничить уровни доступа, не поперло это дело, а делал кстати на заказ, и тамошние человеколамероодмины снесли все нах и поставили туда венду
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By slam Date 21.04.09 15:59
Ну дело не в том что я не хочу, а в том что я не один админ. Я один на linux строю и админю, все остальные используют винду. По этому по просьбе трудящихся, такая вот штука. А редиректор сам сейчас пишу, дело не хитрое по сути, запрос - ответ. С хранениями настроек в LDAP надо подумать, это мысль, но что то сомневаюсь. Уж больно мне кажется много запросов будет пролетать к хранилищу. Хотя если хранить информацию только о пользователях кому и что редиректить, то вполне сносно должно сработать, к тому же сеть не большая, примерно 100 ком.
Parent By Bercut Date 21.04.09 16:38
э нет отдельно низзя
все должно быть в AD
в естественном виде, а не иначе отжиг будет не засчитан
да и че страшного то, ну позапрашивает оно DC делов то...
хотя изъебнуться и реализовать всё это дело с помощью кербероса да в нативном виде...
эх размечтался, тфу..
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent By LOE (Site/forum admin) Date 21.04.09 18:37

> Уж больно мне кажется много запросов будет пролетать к хранилищу


Кэшируй на некоторое время данные в памяти.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Bercut Date 21.04.09 06:51
если коротко то нельзя
только как олег советует или
запускать несколько сквидов
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By slam Date 21.04.09 16:02
LOE прав с тем (да, он всегда прав:-) ), что режик умеет по пользователям редиректить с разными правилами. Но с LDAP идея кажется интересной.
Parent By Bercut Date 21.04.09 16:40
ну вот сделай и доложи как оно там, да и чё
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent By Blake-R Date 07.05.09 14:06
Всё можно. Только изначальный подход неправильный, хоть и допустимый.

Корректнее так:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 15
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic casesensitive off

external_acl_type ldap_group children=15 %LOGIN /usr/libexec/squid/squid_ldap_group \
    -S -K -R -b "dc=domain,dc=tdl" \
    -f "(&(sAMAccountName=%u)(memberOf=cn=%g,ou=Users,dc=domain,dc=tdl))" \
    -s sub -D <пользователь_LDAP> -w <пароль_пользователя_LDAP -h <domain.tdl> -p 3268

acl domain_users proxy_auth REQUIRED

acl ordinaries external ldap_group Internet-Access
acl superUsers external ldap_group Internet-FullAccess

Правила доступа должны включать выполнение проверки acl domain_users, например
http_access allow domain_users superUsers CONNECT !SSL_ports
http_access allow domain_users ordinaries

В приведённом выше примере участники доменной группы Internet-FullAccess будут иметь возможность соединяться методом CONNECT на любые порты, а участники Internet-Access - нет. Все участники Internet-FullAccess должны быть перечислены в группе Internet-Access, либо надо будет добавить правило
http_access allow domain_users superUsers

Теперь можно оперировать уже двумя группами пользователей Squid - ordinaries для всех пользователей и superUsers для пользователей с повышенными привилегиями. Можно и ещё групп добавить для удобства управления и сбора статистики. Ну, и уже на основе этих групп регулировать редиректор.

С наскока по этому посту сделать может и не получиться - надо подстраивать под реальные данные.
Previous Next Up Topic Администрирование / Общее администрирование / SQUID acl+ntlm_auth (12969 hits)

Powered by mwForum 2.12.0 © 1999-2007 Markus Wichitill

Page created in 0.075s with 10 database queries.