Здравствуйте, имею следующий вопрос о том, как лучше организовать авторизацию пользователей в squid. Сейчас авторизация идет через basic хелпер ncsa. Возникла необходимость разбить пользователей на группы и раздавать инет согласно группам. Если сделать примерно так:
#Autentification
auth_param basic program /usr/squid/libexec/ncsa_auth /usr/squid/etc/passwd
auth_param basic children 15
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl user_url dstdomain .domain1.com
acl sec_url dstdomain .domain2.com
acl group_admins proxy_auth user1 user4 REQUIRED
acl group_users proxy_auth user2 REQUIRED
acl group_sec proxy_auth user3 REQUIRED
#HTTP Access
http_access allow manager localhost
http_access deny manager
http_access allow group_admins
http_access allow group_users user_url
http_access allow group_sec sec_url
Имхо тут плохо то, что proxy_auth здесь больше одного раза и squid будет терзать хелпер до появления первого OK - хотелось бы узнать, а вообше можно ли так делать, когда proxy_auth упоминается больше 1-го раза - не повлияет ли это на стабильность и т.д. Еще при использовании такой схемы был замечен глюк в IE7 -при попытке зайти куда либо спрашивает пароль 3 раза, потом пускает, возможно тоже из-за 3 proxy_auth, хотя в FF такого не замечено.
Или же есть еще 1 схема:
acl mydomain_site dstdomain .mydomain.ru
external_acl_type unix_group %LOGIN /usr/squid/libexec/check_group
acl auth proxy_auth REQUIRED
acl inet_full external unix_group inet-full
acl inet external unix_group inet
http_access allow auth mydomain_site
http_access allow inet_full
http_access allow inet user_url
Тут уже proxy_auth один раз, но неудобство в том, что приходись заводить пользователей дважды - в /etc/passwd и в passwd squid'а. И с этой схемой глюков с IE не замечено. В общем, хотелось бы выяснить, какая схема лучше. Сам склоняюсь к первой, т.к. проще пользователей заводить.....
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.