История изменений
Исправление Pinkbyte, (текущая версия) :
Идем в гугл и читаем:
ext_kerberos_ldap_group_acl is an installed binary and allows Squid to connect to a LDAP directory to authorize users via LDAP groups. Options are specified as parameters on the command line, while the username (e.g. user , user@REALM , NDOMAINser ) to be checked against the LDAP directory are specified on subsequent lines of input to the helper, one username per line.
Если в кратце - твои ACL squid_allow и squid_deny требуют на вход комбинацию логин/пароль для проверки принадлежности к группе.
Если мне не изменяет память - авторизацию пара логин/пароль переданная в helper нигде не кэшируется(успешная пара логин/пароль, прошедшая авторизацию, кэшируется в браузере), так что в худшем случае(когда пользователь не состоит ни в группе squid_allow, ни в группе squid_deny) - у него спросят пароль ДВАЖДЫ и только потом будет отлуп
Вообще зачем тебе группа squid_deny? Судя по текущим раскомментированным правилам она тебе нафиг не нужна - разрешай доступ в интернет пользователям из определенной группы(там всё равно будет требоваться basic-авторизация, если Kerberos не отработает - например на Windows-машинах не в домене), остальные пусть падают на deny all
Или опиши задачу полностью словами, если текущие правила в конфиге ее не реализуют.
Исправление Pinkbyte, :
Идем в гугл и читаем:
ext_kerberos_ldap_group_acl is an installed binary and allows Squid to connect to a LDAP directory to authorize users via LDAP groups. Options are specified as parameters on the command line, while the username (e.g. user , user@REALM , NDOMAINser ) to be checked against the LDAP directory are specified on subsequent lines of input to the helper, one username per line.
Если в кратце - твои ACL squid_allow и squid_deny требуют на вход комбинацию логин/пароль для проверки принадлежности к группе.
Если мне не изменяет память - авторизацию пара логин/пароль переданная в helper нигде не кэшируется(успешная пара логин/пароль, прошедшая авторизацию, кэшируется в браузере), так что в худшем случае(когда пользователь не состоит ни в группе squid_allow, ни в группе squid_deny) - у него спросят пароль ДВАЖДЫ и только потом будет отлуп
Вообще зачем тебе группа squid_deny? Судя по текущим раскомментированным правилам она тебе нафиг не нужна - разрешай доступ в интернет пользователям из определенной группы(там всё равно будет требоваться basic-авторизация, если Kerberos не отработает - например на Windows-машинах не в домене), остальные пусть падают на deny all
Исправление Pinkbyte, :
Идем в гугл и читаем:
ext_kerberos_ldap_group_acl is an installed binary and allows Squid to connect to a LDAP directory to authorize users via LDAP groups. Options are specified as parameters on the command line, while the username (e.g. user , user@REALM , NDOMAINser ) to be checked against the LDAP directory are specified on subsequent lines of input to the helper, one username per line.
Если в кратце - твои ACL squid_allow и squid_deny требуют на вход комбинацию логин/пароль для проверки принадлежности к группе.
Если мне не изменяет память - пара логин/пароль переданная в helper нигде не кэшируется, так что в худшем случае(когда пользователь не состоит ни в группе squid_allow, ни в группе squid_deny) - у него спросят пароль ДВАЖДЫ и только потом будет отлуп
Вообще зачем тебе группа squid_deny? Судя по текущим раскомментированным правилам она тебе нафиг не нужна - разрешай доступ в интернет пользователям из определенной группы(там всё равно будет требоваться basic-авторизация, если Kerberos не отработает - например на Windows-машинах не в домене), остальные пусть падают на deny all
Исходная версия Pinkbyte, :
Идем в гугл и читаем:
ext_kerberos_ldap_group_acl is an installed binary and allows Squid to connect to a LDAP directory to authorize users via LDAP groups. Options are specified as parameters on the command line, while the username (e.g. user , user@REALM , NDOMAINser ) to be checked against the LDAP directory are specified on subsequent lines of input to the helper, one username per line.
Если в кратце - твои ACL squid_allow и squid_deny требуют на вход комбинацию логин/пароль для проверки принадлежности к группе.
Вообще зачем тебе группа squid_deny? Судя по текущим раскомментированным правилам она тебе нафиг не нужна - разрешай доступ в интернет пользователям из определенной группы(там всё равно будет требоваться basic-авторизация, если Kerberos не отработает - например на Windows-машинах не в домене), остальные пусть падают на deny all