1 (15.02.2014 11:33:04 отредактировано OverLocker)

Прошу помощи,
Нужно заблокировать список ресурсов (допустим из файла) для определенной группы в домене.

Естсественно на фоне что всем остальным членам домена можно все как раньше.

Авторизация прозрачная через NTLM.


Ну и сразу доп. вопрос можно ли пойти от обратного и дать доступ только к нужным сайтам и все.

2

Смотреть тут

3

Тут ни слова про доменные группы. С ACL я знаком.
Как мне прописать в ACL определенную группу из домена?

4 (16.02.2014 14:08:32 отредактировано XliN)

Вот мой конфиг сквида. Инет всем кто в группе ia, остальные группе insured только из белого списка. Авторизация по доменному имени.

+ открыть спойлер

 Консоль:

http_port 3128
auth_param basic program /usr/lib64/squid/squid_ldap_auth -R -D sel_ldap@smb.mgkb1.local -w XXXXX -b "dc=smb,dc=mgkb1,dc=local" -f "sAMAccountName=%s" 192.168.2.82 -p 389

auth_param basic children 20
auth_param basic realm Internet Access MGKB1
auth_param basic credentialsttl 1 minutes
auth_param basic casesensitive off

external_acl_type ldap_users %LOGIN /usr/lib64/squid/squid_ldap_group -R -b "OU=UsersDom,DC=smb,DC=mgkb1,DC=local" -f "(&(sAMAccountName=%v)(memberOf=CN=%a,CN=Builtin,DC=smb,DC=mgkb1,DC=local))" -D sel_ldap@smb.mgkb1.local -w "XXXXXXX" 192.168.2.82 -v 3 -p 389

hierarchy_stoplist cgi-bin ?

coredump_dir /var/spool/squid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

access_log /var/log/squid/access.log squid

cache_mem 512 MB
cache_effective_user squid
cache_effective_group squid
cache_dir ufs /var/spool/squid/ 1024 16 256
cache_swap_low 97                                                                                                                                                       
cache_swap_high 100                                                                                                                                                     
                                                                                                                                                                       
acl manager proto cache_object                                                                                                                                         
acl localhost src 127.0.0.1/32

acl inetusers external ldap_users ia
acl insured_user external ldap_users insured
acl small_allow  url_regex -i "/etc/squid/Privilegy_list"

acl media urlpath_regex -i \.mp3$ \.asf$ \.wma$
#dns_nameservers 192.168.2.82 192.168.1.77 192.168.3.223

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT


delay_pools 2
# ограничим mp3 до 30 Кб/с
delay_class 1 1
delay_parameters 1 700000/700000
delay_access 1 allow media
delay_access 1 deny all
# ограничим ldap users до 150 Кб/с
delay_class 2 1
delay_parameters 2 700000/700000
delay_access 2 allow inetusers insured_user
delay_access 2 deny all

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow inetusers
http_access allow insured_user small_allow
http_access allow localhost
http_access deny all

http_reply_access allow all
icp_access allow all

coredump_dir /var/spool/squid

log_fqdn on
# Настроим ротацию логов
logfile_rotate 1
# Отключить удаление параметров передаваемых в URL запросе
strip_query_terms off
logformat squid %ts %6tr %>A %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt


MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"