The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"squid - корректный запрет доступа"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Аутентификация)
Изначальное сообщение [ Отслеживать ]

"squid - корректный запрет доступа"  +/
Сообщение от young_lip email(ok) on 09-Сен-10, 13:13 
Стоит squid 2.6 в связке с AD 2003. Некоей группе пользователей не доступны некоторые ресурсы.
acl students external nt_group students
acl bad_url_students url_regex "/etc/squid/bad_url_students"
http_access deny bad_url_students students

однако, при доступе браузер не просто отказывает, а начинает доставать окошком на ввод данных другого пользователя, угоманиваясь раз на пятый. Можно ли как-то сделать чтобы он не просил данные другого пользователя, а сразу отказывал в доступе?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "squid - корректный запрет доступа"  +1 +/
Сообщение от Andrey Mitrofanov on 09-Сен-10, 13:47 
>acl students external nt_group students
>http_access deny bad_url_students students
>однако, при доступе браузер не просто отказывает, а начинает доставать окошком на
>ввод данных другого пользователя

В FAQ-е сквида было что-то про то, последним ли в правиле стоит ACL авторизации... Попробуй:

http_access deny students bad_url_students

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "squid - корректный запрет доступа"  +/
Сообщение от young_lip email(ok) on 09-Сен-10, 14:16 
>http_access deny students bad_url_students

Огромное спасибо!


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "squid - корректный запрет доступа"  +/
Сообщение от McSim (ok) on 25-Окт-10, 10:58 
Очень похожая проблема, уже замахался с ней.
Есть группа пользователей в AD которым разрешено ходить на определенные сайты, и всё.

При заходе на сайты из списка разрешенных, при попытке загрузки всяких банеров/счетчиков с этих сайтов, получаю целую кучу окон с запросом логина / пароля. И на месте банеров стандартное окошко:
При отриманні URL: http://s.holder.com.ua/s? виникла помилка.

Доступ до кешу заборонено

Вибачте, Вам зараз не дозволено запитувати http://s.holder.com.ua/s? з цього кешу. Спочатку авторизуйтеся.

Будь-ласка, зв'яжіться з Адміністратором кешу, якщо у Вас виникли труднощі з авторизацією, або змініть Ваш пароль.

Подскажите, пожалуйста, что не так настроено, почему просит авторизироваться, а не просто рубит?

proxy# squid -v
Squid Cache: Version 3.1.3
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd8.0' 'build_alias=i386-portbld-freebsd8.0' 'CC=cc' 'CFLAGS=-O2 -pipe  -fno-strict-aliasing' 'LDFLAGS=' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -fno-strict-aliasing' --with-squid=/work/a/ports/www/squid31/work/squid-3.1.3 --enable-ltdl-convenience


Кусок squid.conf:

acl confirmed dstdomain "/usr/local/etc/squid/confirmed"
acl ADusers proxy_auth REQUIRED
acl ADconf external nt_group confinet

http_access deny !ADusers
http_access allow ADconf confirmed
http_access deny ADconf
http_access deny all

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "squid - корректный запрет доступа"  +/
Сообщение от Slava (??) on 27-Окт-10, 11:02 
Нужно вместо запрещенных сайтов отдавать нормальную страницу, на которой написать, "вход запрещен".

Воспользуйтесь редиректором.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "squid - корректный запрет доступа"  +/
Сообщение от Andrey Mitrofanov on 27-Окт-10, 11:26 
> Очень похожая проблема, уже замахался с ней.
> Есть группа пользователей в AD которым разрешено ходить на определенные сайты, и
> всё.

[Хотя я с авторизациеей в сквиде не работаю, и скорее всего ошибаюсь~~~]

Этой группе после авторизации запрещать всё [=остальное], чтобы авторизация по другим группам у них уже не спрашивала пароль. +То, что выше, учесть -- про послежним -- не последним ACL авторизации.


Что-то  вроде

http_access allow good_sites_for_users1 users1
http_access deny users1 all

#До этого ACL и авторизации по нему те, что авторизованы по users1, не должны дойти сюда.
http_access allow users2

http_access deny all

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру