Ну, например как у нас сделан доступ некоторым людям только на конторские сайты:
Файл /etc/squid/policy/minimum.acl:
user1@DOMAIN.TLD
user2@DOMAIN.TLD
Здесь user1 - логин юзера в винде, DOMAIN.TLD - "длинное" имя домена винды в
верхнем! регистре. В файле oursites.url перечислены конторские сайты.
Файл /etc/squid/squid.conf
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/proxy.keytab -s HTTP/proxy.domain.tld@DOMAIN.TLD
auth_param negotiate children 30 startup=0 idle=1
auth_param negotiate keep_alive on
acl minimum_acl proxy_auth -i "/etc/squid/policy/minimum.acl"
acl all_dst dst all
acl oursites url_regex -i "/etc/squid/policy/oursites.url"
http_access allow oursites
http_access deny minimum_acl all_dst
http_access allow minimum_acl
http_access deny all_acl
Немного пояснений.
Первый http_access разрешает всем кому угодно доступ к корпоративным сайтам.
Второй - блокирует доступ для тех, кто в списке minimum.acl ко всему остальному.
Третий - разрешает им
вообще подключаться к прокси (иначе начинается нытье со стороны outlook etc.)
Четвертый - страховочный, он запрещает доступ к прокси тем, кто в списках (а их много и все разные) не упомянут.
