форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Настройка Squid и других прокси серверов (Аутентификация)
Изначальное сообщение		[ Отслеживать ]

"Squid + LDAP авторизация и раздача интернета на 2 провайдера"	+/–
Сообщение от _KUL (ok) on 10-Фев-11, 18:02
Здравствуйте! Постоянный посетитель этого ресурса, ВЕЛИКОЛЕПНЫЙ сайт! Много полезного всего здесь нашёл. Но столкнулся с задачей, которую решить немогу. Дано: 1. 2 провайдера. Особенность - оба раздают инет через ADSL, но первый на прямую, а второй через прокси. 2. Есть контроллер домена на SAMBA + LDAP, пользователи, группы, вообщем всё как нужно. 3. Есть прокси сервер Squid. Задача: Необходимо настроить squid так, что бы он умел работать с двумя провайдерами. Сложность в том, что один провайдер сразу отдаёт интернет, а второй через прокси. Собственно и не знаю как сказать сквиду, что у него есть 2 двери в интернет, но способ захода разный. Но это пол беды, другая половина, это то, что хочется, что бы сквид давал интернет пользователю в зависимости от той группы, в которую он входит. Например если юзверь в группе www, то идём на первого провайдера, а если в группе www-proxy, то весь трафик этого пользователя уходит через проксю второго провайдера. На данном этаме сделал авторизацию пользователей из LDAP в Squid таким образом auth_param basic program /usr/lib/squid/ldap_auth -P -b dc=maystro,dc=local -v 3 -f (uid=%s) -h 127.0.0.1 acl ldap-auth proxy_auth REQUIRED http_access allow ldap-auth В данном варианте все пользователи которые правильно введут свои имя/пароль получают доступ к интернету. А как по группам разогнать пользователей? Как в зависимости от группы раздавать нужный интернет? Если кто-то встречался с такой задачей и решал её, прошу помощи, если не на словах, то хотя бы конфигом :). p.s. Огромная просьба не флудить, для флуда социальные сети придуманы!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Squid + LDAP авторизация и раздача интернета на 2 провайдера"	+/–
Сообщение от TopperBG (ok) on 10-Фев-11, 18:12
Вот примерна так: https://www.opennet.ru/openforum/vsluhforumID12/6579.html#4 /usr/lib/squid/squid_ldap_auth -u cn -b "ou=ООО рогаикопыта,dc=rogakopita,dc=local" И подробной гайде для BSD http://sys-adm.org.ua/www/squid-ad.php но принципе такой. А как два провайдера - ето не будет делать с Suiqd, это маршрутизации и маркировки и работает над IPTables / IP / маршрут
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Squid + LDAP авторизация и раздача интернета на 2 провайдера"	+/–
	Сообщение от _KUL (ok) on 12-Фев-11, 11:25
	> Вот примерна так: > https://www.opennet.ru/openforum/vsluhforumID12/6579.html#4 > /usr/lib/squid/squid_ldap_auth -u cn -b "ou=ООО рогаикопыта,dc=rogakopita,dc=local" > И подробной гайде для BSD http://sys-adm.org.ua/www/squid-ad.php но принципе такой. > А как два провайдера - ето не будет делать с Suiqd, это > маршрутизации и маркировки и работает над IPTables / IP / маршрут "ou=ООО рогаикопыта,dc=rogakopita,dc=local" И каким образом сквид должен знать, что нужно в группе ООО рогаикопыта делать выборку из uid значения??? p.s. мне не нужно авторизацию через nltm делать, нужно просто через выборку данных в ldap
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Squid + LDAP авторизация и раздача интернета на 2 провайдера"	+/–
	Сообщение от TopperBG (ok) on 12-Фев-11, 11:33
	>[оверквотинг удален] >> https://www.opennet.ru/openforum/vsluhforumID12/6579.html#4 >> /usr/lib/squid/squid_ldap_auth -u cn -b "ou=ООО рогаикопыта,dc=rogakopita,dc=local" >> И подробной гайде для BSD http://sys-adm.org.ua/www/squid-ad.php но принципе такой. >> А как два провайдера - ето не будет делать с Suiqd, это >> маршрутизации и маркировки и работает над IPTables / IP / маршрут > "ou=ООО рогаикопыта,dc=rogakopita,dc=local" > И каким образом сквид должен знать, что нужно в группе ООО рогаикопыта > делать выборку из uid значения??? > p.s. мне не нужно авторизацию через nltm делать, нужно просто через выборку > данных в ldap Вы читали вообщем? Сквида не знает, Вы укажете из какой OU/Group должни быть юзера, каторие надо получит Интернет. Други юзера (другие OU/Group) не получит - нету совпадения при искание на сквида.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Squid + LDAP авторизация и раздача интернета на 2 провайдера"	+/–
	Сообщение от TopperBG (ok) on 12-Фев-11, 11:37
	>[оверквотинг удален] >>> маршрутизации и маркировки и работает над IPTables / IP / маршрут >> "ou=ООО рогаикопыта,dc=rogakopita,dc=local" >> И каким образом сквид должен знать, что нужно в группе ООО рогаикопыта >> делать выборку из uid значения??? >> p.s. мне не нужно авторизацию через nltm делать, нужно просто через выборку >> данных в ldap > Вы читали вообщем? > Сквида не знает, Вы укажете из какой OU/Group должни быть юзера, каторие > надо получит Интернет. Други юзера (другие OU/Group) не получит - нету > совпадения при искание на сквида. Из хелпа: For directories using the RFC2307 layout with a single domain, all you need to specify is usually the base DN under where your users are located and the server name: squid_ldap_auth -b "ou=people,dc=your,dc=domain" ldapserver If you have sub-domains then you need to use a search filter approach to locate your user DNs as these can no longer be constructed direcly from the base DN and login name alone: squid_ldap_auth -b "dc=your,dc=domain" -f "uid=%s" ldapserver And similarily if you only want to allow access to users having a specific attribute squid_ldap_auth -b "dc=your,dc=domain" -f "(&(uid=%s)(specialattribute=value))" ldapserver Or if the user attribute of the user DN is "cn" instead of "uid" and you do not want to have to search for the users then you could use something like the following example for Active Directory: squid_ldap_auth -u cn -b "cn=Users,dc=your,dc=domain" ldapserver
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Squid + LDAP авторизация и раздача интернета на 2 провайдера"	+/–
	Сообщение от sasku on 28-Фев-11, 21:20
	>А как по группам разогнать пользователей? Как в зависимости от группы раздавать нужный интернет? >Если кто-то встречался с такой задачей и решал её, прошу помощи, если не на словах, то хотя бы конфигом :). >p.s. Огромная просьба не флудить, для флуда социальные сети придуманы! я долго искал как с squid пользоваться группами :) у меня сделано так: auth_param basic program  /usr/lib/squid/squid_ldap_auth -v 3 -u uid -b ou=Users,dc=domain,dc=loc"  192.168.1.1 auth_param basic children 2 auth_param basic realm Squid proxy-caching web server external_acl_type ldap_users children=2 %LOGIN /usr/lib/squid/squid_ldap_group  -b "ou=Groups,dc=domain,dc=loc" -f "(&(objectclass=posixGroup)(cn=%a)(memberUid=%v))" -d 192.168.1.1 acl int_clients external ldap_users internet http_access      allow        int_clients http_access      deny all таким образом в инет ходят только те пользователи, которые входят в группу internet. я думаю тебе это поможет
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Squid + LDAP авторизация и раздача интернета на 2 провайдера"	+/–
	Сообщение от sasku on 28-Фев-11, 22:47
	> таким образом в инет ходят только те пользователи, которые входят в группу > internet. вот бы так еще в postfix сделать - счастью моему не было-бы пределов
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема