Squid, авторизация nsca, пользователи...

0

0

Есть Squid версии 2.4, работает nsca-авторизация.
Есть "крутые" пользователи, у которых доступ к инету положен 24/7, тут без проблем. 
И есть все остальные, доступ к инету которым надо дать только во время обеденного перерыва.

Привожу кусочек squid.conf:
-----------<>---------------

authenticate_program /usr/lib/squid/ncsa_auth /usr/etc/passwd 
acl all src 0.0.0.0/0.0.0.0
acl foo proxy_auth REQUIRED
acl users proxy_auth user 
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 6667 # Mirc
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl WorkTime time 8:00-12:00
acl AfterDinner time 13:15-21:00
acl Diner time 12:00-31:15 
http_access deny !Safe_ports 
http_access deny CONNECT !SSL_ports 
http_access allow foo
http_access allow users Diner
http_access deny users WorkTime
http_access deny users AfterDinner
http_access deny all 
--------------------<>-------------------------
Вот так не работает. Пользователя "user" пускает в любое время.
Какие будут мысли??

Ссылка

←	samba kerberos win2003

syslog remote logging

→

> acl Diner time 12:00-31:15

O_o

И вот тут, imho, косяк:

>acl foo proxy_auth REQUIRED >acl users proxy_auth user

Anoxemian ★★★★★
(13.12.06 10:57:51 MSK)

Ссылка

И порядок в http_access блюсти надо, сначала deny (кроме последнего), потом allow

~~sdio~~ ★★★★★
(13.12.06 11:45:15 MSK)

Ответ на: комментарий от sdio 13.12.06 11:45:15 MSK

Время поправил, спасибо.
Исправил вот так конфиг:
-----------------<>-----------------
acl Diner time 12:00-13:15 
http_access deny !Safe_ports 
http_access deny CONNECT !SSL_ports 
http_access deny users WorkTime
http_access deny users AfterDinner
http_access allow foo
http_access allow users Diner
http_access deny all 
-----------------<>-----------------

Бестолку, все равно пускает всех авторизованных в любое время.

Хотя здесь http://squid.opennet.ru/FAQ/my/FAQrus-23.html лежит пример, почти так как мне надо, только наоборот:

"acl foo proxy_auth REQUIRED
acl bar proxy_auth lisa sarah frank joe
acl daytime time 08:00-17:00
acl all src 0/0
http_access allow bar
http_access allow foo daytime
http_access deny all
В этом примере пользователям lisa, sarah, joe, и frank разрешено использовать прокси в любое время. Другим пользователям разрешен доступ только в дневное время."

HellDog ★
(13.12.06 11:56:40 MSK) автор топика

Ответ на: комментарий от HellDog 13.12.06 11:56:40 MSK

Вы определитесь: вам нужно ВСЕХ пускать в заданное время или только пользователя "user" ?
Если всех, то так:
http_access deny CONNECT !SSL_ports
http_access deny foo !Diner
http_access allow foo
http_access deny all

spirit ★★★★★
(13.12.06 12:18:39 MSK)

Ответ на: комментарий от spirit 13.12.06 12:18:39 MSK

acl foo proxy_auth REQUIRED      # это acl для АВТОРИЗОВАВШИХСЯ пользователей. 
acl users proxy_auth user        # это acl для определённых пользователей 

http_access allow foo            # тут ты разрешаеш полный доступ АВТОРИЗОВАВШИМСЯ пользователям 
http_access allow users Diner    # тут ты определённым пользователям даёшь доступ в обед. 


"users" и "foo" не взаимоисключающиеся группы. Соответственно, либо поменяй порядок http_access, либо сделай как в последнем примере.

Anoxemian ★★★★★
(13.12.06 12:20:54 MSK)

Ссылка

Ответ на: комментарий от spirit 13.12.06 12:18:39 MSK

>Вы определитесь: вам нужно ВСЕХ пускать в заданное время или только пользователя "user" ?

Мне надо пускать "user" в заданное время.

HellDog ★
(13.12.06 12:34:02 MSK) автор топика

Ответ на: комментарий от HellDog 13.12.06 12:34:02 MSK

-----------------<>-----------------
acl Diner time 12:00-13:15 
http_access deny !Safe_ports 
http_access deny CONNECT !SSL_ports 
http_access allow users Diner
http_access allow foo !users
http_access deny all 
-----------------<>-----------------

~~sdio~~ ★★★★★
(13.12.06 12:40:06 MSK)

Ответ на: комментарий от sdio 13.12.06 12:40:06 MSK

Ну хоть расстреляйте меня солеными огурцами, не работает!

HellDog ★
(13.12.06 12:52:46 MSK) автор топика

Ответ на: комментарий от HellDog 13.12.06 12:52:46 MSK

Ну тогда сквид до версии 2.5 обнови хотя бы.

~~sdio~~ ★★★★★
(13.12.06 12:55:04 MSK)

Ответ на: комментарий от sdio 13.12.06 12:55:04 MSK

хых... видать придется... )

HellDog ★
(13.12.06 13:02:52 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	samba kerberos win2003

Admin

syslog remote logging

→

Похожие темы