Есть проблемма. У меня стоити Фря5.4, сквид 2.5 и самба 3.0 Настроил все работате. Есть на PDC 2000 группа Internet куда входят пользователи которым разрешен доступ в инет. На эту группу средствами Сквида наложены некоторые ограничение(запрет скачки файлов и так далее).НО так же есть группа VIP в которую входят боссы и хочется им сделать свободный доступ.
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MYDOMEN+INTERNET"
вот так пускаю пользователей из первой группы. Вторую группу добавить сюда как я понимаю нельзя. Кто как решает эту проблему?

До этого пользовался хелперами от сквида. Теперь перешел на хелперы от Самбы. А тут нету ни wb_group ничего:)

Вопрос: Кто как ограничивает пользователей от лишних интернет ресурсов? Интересуют любые варианты.

• Squid и доступ из W2k по группам.,all_sun, 16:29 , 03-Июн-05
  • Squid и доступ из W2k по группам.,karen, 02:23 , 04-Июн-05
    • Squid и доступ из W2k по группам.,saimon, 14:55 , 16-Июн-05
      • Squid и доступ из W2k по группам.,Саша, 23:51 , 17-Июн-05
    • Squid и доступ из W2k по группам.,master, 13:25 , 15-Июл-05

>Есть проблемма. У меня стоити Фря5.4, сквид 2.5 и самба 3.0 Настроил
>все работате. Есть на PDC 2000 группа Internet куда входят пользователи
>которым разрешен доступ в инет. На эту группу средствами Сквида наложены
>некоторые ограничение(запрет скачки файлов и так далее).НО так же есть группа
>VIP в которую входят боссы и хочется им сделать свободный доступ.
>
>auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MYDOMEN+INTERNET"
>вот так пускаю пользователей из первой группы. Вторую группу добавить сюда как
>я понимаю нельзя. Кто как решает эту проблему?
>
>До этого пользовался хелперами от сквида. Теперь перешел на хелперы от Самбы.
>А тут нету ни wb_group ничего:)
>
>Вопрос: Кто как ограничивает пользователей от лишних интернет ресурсов? Интересуют любые варианты.
>

а что мешает добавлять пользователей в эту группу? AD предоставляет довольно гибкие способы для различного рода учета

>>Есть проблемма. У меня стоити Фря5.4, сквид 2.5 и самба 3.0 Настроил
>>все работате. Есть на PDC 2000 группа Internet куда входят пользователи
>>которым разрешен доступ в инет. На эту группу средствами Сквида наложены
>>некоторые ограничение(запрет скачки файлов и так далее).НО так же есть группа
>>VIP в которую входят боссы и хочется им сделать свободный доступ.
>>
>>auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MYDOMEN+INTERNET"
>>вот так пускаю пользователей из первой группы. Вторую группу добавить сюда как
>>я понимаю нельзя. Кто как решает эту проблему?
>>
>>До этого пользовался хелперами от сквида. Теперь перешел на хелперы от Самбы.
>>А тут нету ни wb_group ничего:)
>>
>>Вопрос: Кто как ограничивает пользователей от лишних интернет ресурсов? Интересуют любые варианты.
>>
>
>
>а что мешает добавлять пользователей в эту группу? AD предоставляет довольно гибкие
>способы для различного рода учета

Так мне надо на основе двух разных групп, чтоб потом, в сквиде сделать так, если пользователь авторизовался и в группе "Интернет", то качать никаких файлов не может, и так далее, а если прошел авторизацию и в группе "VIP", то может резвиться как хочет.

>>>Есть проблемма. У меня стоити Фря5.4, сквид 2.5 и самба 3.0 Настроил
>>>все работате. Есть на PDC 2000 группа Internet куда входят пользователи
>>>которым разрешен доступ в инет. На эту группу средствами Сквида наложены
>>>некоторые ограничение(запрет скачки файлов и так далее).НО так же есть группа
>>>VIP в которую входят боссы и хочется им сделать свободный доступ.
>>>
>>>auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MYDOMEN+INTERNET"
>>>вот так пускаю пользователей из первой группы. Вторую группу добавить сюда как
>>>я понимаю нельзя. Кто как решает эту проблему?
>>>
>>>До этого пользовался хелперами от сквида. Теперь перешел на хелперы от Самбы.
>>>А тут нету ни wb_group ничего:)
>>>
>>>Вопрос: Кто как ограничивает пользователей от лишних интернет ресурсов? Интересуют любые варианты.
>>>
>>
>>
>>а что мешает добавлять пользователей в эту группу? AD предоставляет довольно гибкие
>>способы для различного рода учета
>
>Так мне надо на основе двух разных групп, чтоб потом, в сквиде
>сделать так, если пользователь авторизовался и в группе "Интернет", то качать
>никаких файлов не может, и так далее, а если прошел авторизацию
>и в группе "VIP", то может резвиться как хочет.

С группой не получится, а вот комбинация группа+имя пользователя можно, т.е. делаеш acl через него исключение.

>>>>Вопрос: Кто как ограничивает пользователей от лишних интернет ресурсов? Интересуют любые варианты.
>>>>
По моему самые большие возможности можно получить используя redirect_program.
прога которую укажешь в этом параметре сквида будет запускаться при запросе каждойстранички и ейбудет передаваться урл и юзер.
как ты будешь оценивать - твое дело. можешь взять проги которые вставляются как редиректы, можешь сам написать.

>Так мне надо на основе двух разных групп, чтоб потом, в сквиде
>сделать так, если пользователь авторизовался и в группе "Интернет", то качать
>никаких файлов не может, и так далее, а если прошел авторизацию
>и в группе "VIP", то может резвиться как хочет.

необходимо отображение AD групп на ACL
--- squid.conf ---
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp  # без --require-membership

external_acl_type NT_global_group %LOGIN /usr/lib/squid/wbinfo_group.pl
acl users external NT_global_group InternetUsers
acl password proxy_auth REQUIRED

http_access allow users
http_access deny all
--- end squid.conf ---
InternetUsers - группа в AD
users - соответственно acl