forum.opennet.ru - "комбинированная аутентификация (ntlm + IP)" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"комбинированная аутентификация (ntlm + IP)"

Форум Настройка Squid и других прокси серверов (Аутентификация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"комбинированная аутентификация (ntlm + IP)"	+/–
Сообщение от PickNick (ok) on 13-Авг-10, 07:06
Всем доброго времени суток! Настроил squid на аутентификацию пользователей AD через ntlm. 1. Все замечательно работает, в AD есть группы пользователей. 2. В качестве редиректора используется squidGuard, в нем определяется приадлежность пользователей группам AD и есть правила доступа к URL. Вопрос заключается в следующем: возможно ли настроить squid таким образом, чтобы сначала он проверял, разрешен ли доступ конкретному IP, а затем, если доступа нет требовал доменную аутентификацию? (Соответственно, если доступ по IP есть - разрешить доступ в инет без AD-авторизации, а если явно указан запрет по IP не разрешать выход и не требовать авторизации AD) Режим работы домена - 2008 FreeBSD 8.0-RELEASE squid-3.0.25_2 squidGuard-1.4_2 samba34-3.4.8 Настройки прокси: tstprox# egrep -v '^$\|^#' /usr/local/etc/squid/squid.conf \| more http_port 192.168.0.129:3128 maximum_object_size_in_memory 102400 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY cache_dir ufs /usr/local/squid/cache 4096 16 256 refresh_pattern ^ftp: &n... 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 dns_nameservers 192.168.0.33 192.168.0.104 auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param ntlm children 10 auth_param ntlm keep_alive on auth_param ntlm use_ntlm_negotiate on auth_param basic children 10 auth_param basic realm TEST Squid Proxy-server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off acl all src 0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1 acl to_localhost dst 127.0.0.0/8 acl DOMAIN proxy_auth REQUIRED acl SSL_ports port 443 acl purge method PURGE acl CONNECT method CONNECT http_access deny manager http_access allow purge localhost http_access deny purge http_access allow localhost http_access allow DOMAIN http_access deny all http_reply_access allow all htcp_access deny all visible_hostname prox.DOMAIN.ru access_log /usr/local/squid/logs/access.log squid url_rewrite_program /usr/local/bin/squidGuard -c /usr/local/etc/squid/squidGuard.conf
Ответить \| Правка \| Cообщить модератору

Оглавление

комбинированная аутентификация (ntlm + IP), ipmanyak, 07:50 , 13-Авг-10, (1)

комбинированная аутентификация (ntlm + IP), PickNick, 09:13 , 13-Авг-10, (2)

комбинированная аутентификация (ntlm + IP), luckyy, 15:24 , 30-Окт-13, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "комбинированная аутентификация (ntlm + IP)" +/–

Сообщение от ipmanyak (ok) on 13-Авг-10, 07:50

и что мешает поставить проверку IP выше правил авторизации?
acl ips src 192.168.0.2  192.168.0.101-192.168.0.200
http_access deny all ! ips

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "комбинированная аутентификация (ntlm + IP)" +/–

Сообщение от PickNick (ok) on 13-Авг-10, 09:13

>и что мешает поставить проверку IP выше правил авторизации?
>acl ips src 192.168.0.2  192.168.0.101-192.168.0.200
>http_access deny all ! ips
Спасибо! Такое исключение адресов из запрета действительно работает как нужно - тачки из домена можно принудительно закрыть, если задать их в "http_access deny all ! ips". Если в редиректоре они не помещены в правила, разрешающие интернет, то попадают в бан по-умолчанию. Если в squidGuard'e разрешить доступ, то фильтры контента работают.
Без указания машины в "http_access deny all ! ips" прокси просит аутентификации.
Вроде не сложно, а сам не допер. Спасибо еще раз!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "комбинированная аутентификация (ntlm + IP)" +/–

Сообщение от luckyy (ok) on 30-Окт-13, 15:24

>>и что мешает поставить проверку IP выше правил авторизации?
>>acl ips src 192.168.0.2  192.168.0.101-192.168.0.200
>>http_access deny all ! ips
> Спасибо! Такое исключение адресов из запрета действительно работает как нужно - тачки
> из домена можно принудительно закрыть, если задать их в "http_access deny
> all ! ips". Если в редиректоре они не помещены в правила,
> разрешающие интернет, то попадают в бан по-умолчанию. Если в squidGuard'e разрешить
> доступ, то фильтры контента работают.
> Без указания машины в "http_access deny all ! ips" прокси просит аутентификации.
> Вроде не сложно, а сам не допер. Спасибо еще раз!
Здравствуйте, не понял:
> "Спасибо! Такое исключение адресов из запрета действительно работает как нужно - тачки
> из домена можно принудительно закрыть, если задать их в "http_access deny
> all ! ips""
этоже наоборот исключения, прописав  тачки в этот acl вы даете им доступ, "запретить все кроме тех кто в этом acl"

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "комбинированная аутентификация (ntlm + IP)"	+/–
Сообщение от ipmanyak (ok) on 13-Авг-10, 07:50
и что мешает поставить проверку IP выше правил авторизации? acl ips src 192.168.0.2 192.168.0.101-192.168.0.200 http_access deny all ! ips
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "комбинированная аутентификация (ntlm + IP)"	+/–
	Сообщение от PickNick (ok) on 13-Авг-10, 09:13
	>и что мешает поставить проверку IP выше правил авторизации? >acl ips src 192.168.0.2 192.168.0.101-192.168.0.200 >http_access deny all ! ips Спасибо! Такое исключение адресов из запрета действительно работает как нужно - тачки из домена можно принудительно закрыть, если задать их в "http_access deny all ! ips". Если в редиректоре они не помещены в правила, разрешающие интернет, то попадают в бан по-умолчанию. Если в squidGuard'e разрешить доступ, то фильтры контента работают. Без указания машины в "http_access deny all ! ips" прокси просит аутентификации. Вроде не сложно, а сам не допер. Спасибо еще раз!
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "комбинированная аутентификация (ntlm + IP)"	+/–
	Сообщение от luckyy (ok) on 30-Окт-13, 15:24
	>>и что мешает поставить проверку IP выше правил авторизации? >>acl ips src 192.168.0.2 192.168.0.101-192.168.0.200 >>http_access deny all ! ips > Спасибо! Такое исключение адресов из запрета действительно работает как нужно - тачки > из домена можно принудительно закрыть, если задать их в "http_access deny > all ! ips". Если в редиректоре они не помещены в правила, > разрешающие интернет, то попадают в бан по-умолчанию. Если в squidGuard'e разрешить > доступ, то фильтры контента работают. > Без указания машины в "http_access deny all ! ips" прокси просит аутентификации. > Вроде не сложно, а сам не допер. Спасибо еще раз! Здравствуйте, не понял: > "Спасибо! Такое исключение адресов из запрета действительно работает как нужно - тачки > из домена можно принудительно закрыть, если задать их в "http_access deny > all ! ips"" этоже наоборот исключения, прописав тачки в этот acl вы даете им доступ, "запретить все кроме тех кто в этом acl"
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору