Мне нужно настроить два типа доступа в Squid:
SELinux Enforcing
Брандмауэр, разрешающий доступ через порт 3128
...
acl local_network src 192.168.0.0/24
external_acl_type user_priv ipv4 %LOGIN /usr/lib64/squid/ext_ldap_group_acl -R -K \
-h example.com \
-b "dc=example,dc=com" \
-D user@DOMAIN \
-w password \
-f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=ADMINISTRATION,dc=example,dc=com))"
acl access_priv external user_priv PRIVILEGED_USERS
http_access allow access_priv
http_access allow local_network
url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
...
ldapbinddn cn=User,ou=TI,dc=example,dc=com
ldapbindpass password
ldapcachetime 300
src user_priv {
ldapusersearch ldap://ad.example.com/dc=example,dc=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberof=cn=PRIVILEGED_USERS,ou=ADMINISTRATION,dc=example,dc=com)
}
user_priv {
pass !ads !porn audio-video social_networks whitelist
redirect http://squid.example.com/cgi-bin/squidGuard.cgi?clientaddr=%a+clientname=%n+clientuser=%i+clientgroup=%s+targetgroup=%t+url=%u
}
default {
pass !ads !porn !audio-video !social_networks whitelist
redirect http://squid.example.com/cgi-bin/squidGuard.cgi?clientaddr=%a+clientname=%n+clientuser=%i+clientgroup=%s+targetgroup=%t+url=%u
}
Я не мог заставить его работать. Я попытался изменить порядок acls, но это не сработало так, как мне нужно. Или у пользователей без аутентификации нет доступа, или у привилегированных пользователей нет своего частного доступа.
Есть идеи?
Я так не думаю, потому что вам нужно включить Модуль NTLM в конфигурации squid. Решение может заключаться в установке двух разных кальмаров или активации двух кальмаров на двух разных экземплярах. Просто для пояснения, это не лучший выбор для включения аутентификации пользователя в squid, потому что ваш AD будет задействован каждый раз squid, и просмотр будет медленным. И последнее, но не менее важное: ваши пользователи будут вас ненавидеть. :-) С уважением
SquidGuard 1.4 не поддерживает Squid 3.3.8 Для работы с более новыми версиями squid вам необходимо установить патч squidguard. http://bugs.squid-cache.org/show_bug.cgi?id=3978
или используйте другой перенаправитель.