squid acl policy usando nome de usuário

1

eu configurei o squid para autenticar usando o win AD, mas os usuários podem se conectar a partir de endereços IP diferentes e não posso definir base de diretivas em ip para usuários diferentes.

é alguma maneira de definir uma base acl no nome de usuário?

eu encontrei ident

http://www.visolve.com/squid/squid24s1/access_controls.php

é o trabalho para o meu testcase?

    
por hamedsh 27.08.2010 / 08:53

2 respostas

2

Você precisa definir e usar ACLs do tipo proxy_auth ; de acordo com a página que você vinculou:

Acl Type: proxy_auth

Description User authentication via external processes. proxy_auth requires an EXTERNAL authentication program to check username/password combinations (see authenticate_program ).

Usage acl aclname proxy_auth username...

use REQUIRED instead of username to accept any valid username

Example acl ACLAUTH proxy_auth usha venkatesh balu deepa

This acl is for authenticating users usha, venkatesh, balu and deepa by external programs.

Desta forma, o Squid irá autenticar os usuários usando qualquer método de autenticação que você escolher (você disse que isso já está em vigor, então você não deve ter nenhum problema aqui), e então você poderá filtrar o acesso baseado em nomes de usuários. p>

Configuração de amostra:

acl Good_Users user1 user2 user3
http_access allow Good_Users
http_access deny all

Isso só permitirá que usuário1, usuário2 e usuário3 acessem a web.

    
por 27.08.2010 / 11:55
0

Você precisa estar ciente de que é relativamente fácil fornecer credenciais falsas via ident (a menos que os clientes estejam bem trancados). Também requer que o software seja instalado em máquinas clientes. Eu já usei isso anteriormente com uma mistura de clientes em uma LAN corporativa e funcionou para mim - mas configurei esse sistema muito antes de a Microsoft começar a mexer com o LDAP.

AFAIK, enquanto você também pode usar o NTLM, fora da Microsoft, é apenas tão seguro quanto o ident.

O método de diretório ativo (supondo que você esteja fazendo algo como este em vez de NTLM) deve ser mais seguro. Mas se você é, então WTF tem o endereço IP tem a ver com isso? Parece que você tem uma solução muito quebrada que depende da (errada) autenticação do endereço IP. (Endereços IP podem ser falsificados com muita facilidade).

is it work for my testcase?

Não tenho ideia de qual é o seu caso de teste.

    
por 27.08.2010 / 11:47