Как в Squid запретить доступ некоторым пользователям?

Question

[Дмитрий]

Имеется squid, авторизация пользователей с домена windows по kerberos.
Возникла задача определённым пользователям домена вообще запретить доступ в сеть Интернет. Как-то можно сделать ACL или что-то подобное по конкретным юзерам/группам?

acl denyusers ident user05
http_access deny denyusers

не получилось
Нашёл в сети, что делают с ext_kerberos_ldap_group_acl, но у меня сквид установлен из пакета без этой опции (Centos)

Answer 1

[CityCat4]

Ну, например как у нас сделан доступ некоторым людям только на конторские сайты:
Файл /etc/squid/policy/minimum.acl:

user1@DOMAIN.TLD
user2@DOMAIN.TLD

Здесь user1 - логин юзера в винде, DOMAIN.TLD - "длинное" имя домена винды в верхнем! регистре. В файле oursites.url перечислены конторские сайты.

Файл /etc/squid/squid.conf

auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/proxy.keytab -s HTTP/proxy.domain.tld@DOMAIN.TLD
auth_param negotiate children 30 startup=0 idle=1
auth_param negotiate keep_alive on
acl minimum_acl proxy_auth -i "/etc/squid/policy/minimum.acl"
acl all_dst dst all
acl oursites url_regex -i "/etc/squid/policy/oursites.url"
http_access allow oursites
http_access deny minimum_acl all_dst
http_access allow minimum_acl
http_access deny all_acl

Немного пояснений.
Первый http_access разрешает всем кому угодно доступ к корпоративным сайтам.
Второй - блокирует доступ для тех, кто в списке minimum.acl ко всему остальному.
Третий - разрешает им вообще подключаться к прокси (иначе начинается нытье со стороны outlook etc.)
Четвертый - страховочный, он запрещает доступ к прокси тем, кто в списках (а их много и все разные) не упомянут.

Comments

[Дмитрий]

Пока сделал как у Вас... Но думаю всё-таки как-то возможно с AD брать юзеров или целую группу.

[CityCat4]

Дмитрий, конечно возможно. У меня есть проектируемый прокси с бампингом и статистикой (статистика пилится), в нем кроме этого еще и группы с AD.

auth_param не менялся, остальное выглядит так:

external_acl_type minimal ttl=300 negative_ttl=60 children-startup=5 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g AccessMinimal -D DOMAIN.TLD
acl minimum_acl external minimal
acl ownsites url_regex -i "/etc/squid/policy/ownsites.url"
http_access allow minimum_acl ownsites
http_access deny minimum_acl

AccessMinimal - группа в AD