Portál AbcLinuxu, 12. května 2025 15:41

Dotaz: Squid ACL

21.6.2007 14:08 Mir0
Squid ACL
Přečteno: 1273×
Odpovědět | Admin
Ahojte doteraz som mal v squide vytvorene skupiny podla IP Adries. No teraz sme boli donuteni prejst na DHCP. Kedze uz nemam staticke IP musim zmenit sposob filtrovania. A to bud ARP filter alebo LDAP, NTLM ....... Mam k dispozicii Win 2003 server s domenou ale na linuxoch zas nemam sambu ani DNS server. Rozmyslal som este nad filtrom na nazov PC ale neviem ci by to squid zozral Dalsi problem bol ked som dal v resolv.conf prvy nameserver providera tak lokalne nazvy neprevadzal. Ked som dal prvy nameserver lokalny z Win serveru tak vonkajsie odozvy sa rapidne predlzili. A aby som nezabudol DHCP zas bezi na routri :o) Proste total misung. Co navrhujete ? Ake riesenie odporucate ? co sa tyka squida s ostatnym sa neda hybat.

Dikes
404 - not found
Nástroje: Začni sledovat (3) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

21.6.2007 14:49 Jack
Rozbalit Rozbalit vše Re: Squid ACL
Odpovědět | | Sbalit | Link | Blokovat | Admin 
Acl Typ: arp
Použití acl aclname arp ARP−ADDRESS

Description
Ethernet (MAC) address matching This acl is supported on Linux, Solaris, and probably BSD variants.
To use ARP (MAC) access controls, you first need to compile in the optional code.

Do this with the −−enable−arp−acl configure option:
% ./configure −−enable−arp−acl ...
% make clean
% make

If everything compiles, then you can add some ARP ACL lines to your squid.conf
Default acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025−65535
acl Safe_ports port 280 # http−mgmt
acl Safe_ports port 488 # gss−http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

Example
acl ACLARP arp 11:12:13:14:15:16
ACLARP refers MACADDRESS of the ethernet 11:12:13:14:15:16

Note
Squid can only determine the MAC address for clients that are on the same subnet. 
If the client is on a different subnet,then Squid cannot find out its MAC address.
21.6.2007 14:59 Mir0
Rozbalit Rozbalit vše Re: Squid ACL
No na jednom subnete to je cize pojde to este co to spravi ak nahadzem MAC do suborov tak ako boli IPcky po skupinach aby to bolo prehladne

mna zaujimalo ci sa da spojazdnit authentifikacia cez NT domenu to bolo LDAP NTLM .... nieco som si dnes precital .... ale bez samby resp max samba klient na linuxe kedze je to cisty FW snazim sa to drzat na minime ostatne externe authentifikacie bezali cez sambu a niektore este v kombinacii s MySQL Squid manual mam vytlaceny :o) Ale prave o tychto menej standartnych veciach toho neni moc popisaneho a co auth cez meno heslo pre proxy to mam rozchodene da sa na tieto udaje napasovat skupina napr na mena z auth pre pristup k squid proxy ? toto som nikde nevidel
404 - not found
21.6.2007 15:28 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Squid ACL
Myslíte acl xxx proxy_auth?
21.6.2007 15:46 Mir0
Rozbalit Rozbalit vše Re: Squid ACL
ano ja mam squid 2.5.11 a tam je to auth_param basic program PROGRAM LOGINPASSWORDSUBOR viem ze toto vrati hodnotu OK alebo ERR ale neviem ci cashuje mena dalej ci by sa dali urobit skupiny na zaklade mien z toho loginu
404 - not found
21.6.2007 16:23 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Squid ACL
Ten parametr je už ve verzi 2.4. auth_param určuje, jakým způsobem se bude autentizovat. acl name proxy_auth pak použijete pro nastavení ACL dle přihlašovacího jména.
22.6.2007 07:03 Mir0
Rozbalit Rozbalit vše Re: Squid ACL
nom tak bud som nieco zle prelozil alebo som to nevidel idem s tym pootravovat googla co on na to
404 - not found
22.6.2007 08:33 Mir0
Rozbalit Rozbalit vše Re: Squid ACL
precitqal som si to cele este raz nasiel som co som si nevsimol napisem to sem aj pre ostatnych acl GRUPA1 proxy_auth USER1 USER2 USER3 http_access allow GRUPA1 PRAVIDLO1 cize potom by z celeho baliku userov mali mat tyto zrovna pristup na stranky dane v acl PRAVIDLO1 to uz tam uvedene nebolo ale ak to fungovalo po starom malo by to fungovat aj takto v podstate sa len inak zadefinuje GRUPA1 pred tym som to robil cez acl src GRUPA1 "subor s ip" teraz to bude adresnejsie kedze to bude viazane k loginu opravte ma ak sa mylim vdaka
404 - not found
21.6.2007 17:41 Martin Šebek | skóre: 18 | blog: Tady je Indiánovo | Mladá Boleslav
Rozbalit Rozbalit vše Re: Squid ACL
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jestliže máš k dispozici server s Active Directory, dají se účty v něm krásně použít pro vytvoření ACL ve Squidu. Doporučuji se mrknout na nástroje squid_ldap_group a squid_ldap_auth.
22.6.2007 07:00 Mir0
Rozbalit Rozbalit vše Re: Squid ACL
ano tuto alternativu som myslel ale vsade to kombinuju so sambou je nejaka sanca rozchodit to bez samby ?
404 - not found
22.6.2007 08:19 Martin Šebek | skóre: 18 | blog: Tady je Indiánovo | Mladá Boleslav
Rozbalit Rozbalit vše Re: Squid ACL
Ano. Jak jsem už napsal, přečti si o squid_ldap_group a squid_ldap_auth. Co tě naopak nezajímá je ntlm_auth, k čemuž bys potřeboval Sambu a Winbind.
22.6.2007 08:34 Mir0
Rozbalit Rozbalit vše Re: Squid ACL
vdaka idem to omrknut hlbsie
404 - not found
22.6.2007 08:34 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Squid ACL
Pokud budete k AD přistupovat přes LDAP, Sambu nepotřebujete.
22.6.2007 11:20 Mir0
Rozbalit Rozbalit vše Re: Squid ACL
Ak som vsetko spravne pochopil, tak po uspesnom zavedeni tejto moznosti autorizacie aj tak vyskoci uzivatelovi login dialog a bude sa musiet manualne autorizovat s tym ze sa to akurat overi v AD. Myslel som ze to overuje na pozadi. Potom menej bolestive bude asi proxy_auth metoda, kedze hesla uz maju zo strany uzivatela by sa nemalo nic zmenit
404 - not found
22.6.2007 12:08 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Squid ACL
Jediná metoda, která používá jméno a heslo (resp. jeho hash), a nevyžaduje jejich zadání, je NTLM metoda spolu s MISE, který snad nejprve vyzkouší údaje použité k přihlášení do systému. Akorát mi není jasné, jak se k nim dostane. Pokud už ale uživatelé hesla k proxy zadávají, ta jména a hesla už se někde musí ověřovat, takže to máte ve Squidu rozchozené. Pak už nepotřebujete jinou metodu ověření (stejně může fungovat jen jedna). squid_ldap_group by mohla posloužit k tomu, že vezme jméno z (libovolné) autorizace a zjistí, zda je uživatel v zadané skupině v LDAP (nebo AD) - dosadí jméno do parametru filtru, který mu zadáte. Klidně tedy můžete použít squid_ldap_group s libovolným typem autorizace (nezkoušel jsem to, ale mělo by to tak fungovat). Jenom je potřeba si dát pozor na to, v jakém formátu máte ověřené jméno uživatele a v jakém jej vyžaduje LDAP dotaz.
22.6.2007 13:07 Mir0
Rozbalit Rozbalit vše Re: Squid ACL
ano ako som hore pisal bolo to zavesene na IP usera do skupin s overenim cez externy program ja som teraz skumal vsetky ostavajuce metody kedze sme museli prejst na DHCP akurat sa mi podarilo dokonfigurovat squid s tym ze som spravil skupiny s proxy_auth a musel som upravit zvysok lebo vyhadzoval 407 - viacnasobne overovanie a nasiel som zaujimavy bug v squid-e ked dam squid -k reconfigure pod rootom tak to prevezme vlastnicto na tie dva subory v cache na roota ked dam squid -k shutdown a potom startnem squid -D tak vsetko v pohode overoval som to viac krat
404 - not found
22.6.2007 13:08 Mir0
Rozbalit Rozbalit vše Re: Squid ACL
k tomu NTLM nie som si celkom isty ale zda sa mi ze meno si tahal rovno z paketov cez sambu
404 - not found
22.6.2007 18:59 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Squid ACL
Okrem IE funguje ntlm auth aj vo ff (celkom transparentne na pozadi), ktory ma tiez integrovanu podporu. Tiez som riesil konfiguraciu squid+ntlm auth+samba(ldap). Funguje to perfektne.
25.6.2007 08:32 Mir0
Rozbalit Rozbalit vše Re: Squid ACL
OK dikes skusim sa na to pozriet z blizsia skusim proxy presunut na novy pokus stroj so sambou aspon si skusim fileserver a komunikacia s win proxy_auth zatial funguje OK uvidime co urobi sarg
404 - not found

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.