@seqular
Сисадмин

Как в Squid запретить доступ некоторым пользователям?

Имеется squid, авторизация пользователей с домена windows по kerberos.
Возникла задача определённым пользователям домена вообще запретить доступ в сеть Интернет. Как-то можно сделать ACL или что-то подобное по конкретным юзерам/группам?
acl denyusers ident user05
http_access deny denyusers


не получилось
Нашёл в сети, что делают с ext_kerberos_ldap_group_acl, но у меня сквид установлен из пакета без этой опции (Centos)
  • Вопрос задан
  • 1925 просмотров
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4
Внимание! Изменился адрес почты!
Ну, например как у нас сделан доступ некоторым людям только на конторские сайты:
Файл /etc/squid/policy/minimum.acl:
user1@DOMAIN.TLD
user2@DOMAIN.TLD

Здесь user1 - логин юзера в винде, DOMAIN.TLD - "длинное" имя домена винды в верхнем! регистре. В файле oursites.url перечислены конторские сайты.

Файл /etc/squid/squid.conf
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/proxy.keytab -s HTTP/proxy.domain.tld@DOMAIN.TLD
auth_param negotiate children 30 startup=0 idle=1
auth_param negotiate keep_alive on
acl minimum_acl proxy_auth -i "/etc/squid/policy/minimum.acl"
acl all_dst dst all
acl oursites url_regex -i "/etc/squid/policy/oursites.url"
http_access allow oursites
http_access deny minimum_acl all_dst
http_access allow minimum_acl
http_access deny all_acl

Немного пояснений.
Первый http_access разрешает всем кому угодно доступ к корпоративным сайтам.
Второй - блокирует доступ для тех, кто в списке minimum.acl ко всему остальному.
Третий - разрешает им вообще подключаться к прокси (иначе начинается нытье со стороны outlook etc.)
Четвертый - страховочный, он запрещает доступ к прокси тем, кто в списках (а их много и все разные) не упомянут.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы