LINUX.ORG.RU
ФорумAdmin

SQUID работа с группами AD

 ,


0

1

Добрый день!

Подскажите где у меня ошибка!

Стоит следующая задача:

1. закрыть выход в интернет всем пользователям не входящим в определенные доменные группы
2. создать две группы: группа полного доступа и группа с ограниченным доступом к ресурсам интернета

Конфиг настраивал на три группы: полный доступ, частичный доступ и полный запрет. Но пока писал подумал что группа полного запрета не нужна, нужно просто ограничить доступ всем домменным пользователям не входящим в группы полного и частичного доступа, а так же недоменным пользователям. Подскажите как правильно это реализовать. Я так понимаю положение правил доступа относительно друг друга очень важно?

В общем с сушествующим конфигом проблема в следующем, при перемещении пользователя из групп с разрешенным доступом в группу с закрытым доступом в инет доступ к интернету не пропадает. Прилагаю конфиг ниже.



# Аутентификация в Active Directory
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/proxy.samba.domain.ru@SAMBA.DOMAIN.RU
auth_param negotiate children 30 #startup=10 idle=5
auth_param negotiate keep_alive off

external_acl_type squid-all-access-stv ttl=900 negative_ttl=900 ipv4 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g squid-all-access-stv -D SAMBA.DOMAIN.RU
external_acl_type squid-baselist-stv ttl=900 negative_ttl=900 ipv4 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g squid-baselist-stv -D SAMBA.DOMAIN.RU
external_acl_type squid-blacklist-stv ttl=900 negative_ttl=900 ipv4 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g squid-blacklist-stv -D SAMBA.DOMAIN.RU

####################################################################################################################################################################################



# Авторизация требуется ОБЯЗАТЕЛЬНО, без нее никого не пускать
acl auth proxy_auth REQUIRED

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl BLOCKED dstdomain «/etc/squid/blocklist.acl»


# Разрешенные группы
acl squid-all-access-stv external squid-all-access-stv
acl squid-baselist-stv external squid-baselist-stv
acl squid-blacklist-stv external squid-blacklist-stv

# Правила доступа
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access allow squid-all-access-stv



http_access allow squid-baselist-stv
http_access deny squid-blacklist-stv
http_access allow auth

http_access deny BLOCKED

# Подключение к вышестоящему прокси-серверу
cache_peer proxy.samba.domain.ru parent 3128 0 no-query no-digest no-netdb-exchange default
cache_peer_access proxy.samba.domain.ru allow all
never_direct allow all

http_access deny all


# Порт прокси-сервера
http_port 3128

# Каталог дампа ядра
coredump_dir /var/spool/squid

# Объем оперативной памяти, используемой для хранения обрабатываемых объектов
cache_mem 1024 MB

# Директория хранения кэша ([тип файловой системы] [где хранить кэш] [количество дискового пространства в мегабайтах] [количество каталогов]
cache_dir diskd /var/spool/squid 16384 32 256

# Используется, чтоб определить не устарел ли объект в кэше
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

# Куда и в каком объеме будем писать логи
access_log daemon:/var/log/squid/access.log squid
logfile_rotate 31

#debug_options ALL,1 33,2 28,9

Ответ на: комментарий от Vsevolod-linuxoid

По моему там не к чему придираться, каши нет, читать удобно! Данную тему я создал для помощи в конкретном вопросе, а не ради критики эстетики моего написания..

maxpopov89
() автор топика
27 марта 2023 г.

привет, попробуйте

external_acl_type squid-all-access-stv ttl=300 negative_ttl=300 cache=30 ipv4 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g squid-all-access-stv -D SAMBA.DOMAIN.RU

usavich
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.