[linux] Squid a ACL

Marián Adamják adamjak na topu.army.sk
Pátek Květen 9 06:39:50 CEST 2003 

Ak potrebujete riadit "pristup" cez squid-a pre konkretnych uzivatelov
potom musite zabezpecit aby sa "prihlasili" ku squid-ovi.
Je treba:
1. nastavit autentifikacny program, napr.:

	authenticate_program /usr/local/squid/libexec/squid/pam_auth

	autentifikacnych programov je viac, mali by byt v distribucii squid-a, ale
      kde presne to Vam nepoviem... Je mozne overovat uzivatelov voci
unix/passwd,
      WinNT, LDAP pripadne napisat si vlastny autentifikator.

2. pre vynutenie autentifikacie sa definuje acl:

       acl password proxy_auth REQUIRED

3. no a potom je to uz jednoduche:
   definovanie skupin uzivatelov:

	acl vip_user proxy_auth "/.../user_vip"
	acl other_user proxy_auth "/.../user_other"
	....

   definovanie kam mozu a kam nie napr.:

      acl povolene dstdomain .ok1.dom .ok2.dom .ok3.dom
	acl zakazane dstdomain "/..../deny_domain"

   definovanie pristupu napr.:

	http_access deny !password # toto vyziada autentizaciu
      http_access allow other_user povolene
      http_access allow vip_user

To by malo stacit - nie som si isty, dlho som to nerobil, ale malo by to byt
OK. Pripominam
len ze ak je posledny http_access allow, squid automaticky doplna
http_access deny all a naopak.

Hodne stastia
MA

-----Original Message-----
From: linux-admin na lists.linux.sk [mailto:linux-admin na lists.linux.sk]On
Behalf Of Bc. Petr Hejný
Sent: Tuesday, May 06, 2003 1:44 PM
To: linux na lists.linux.sk
Subject: Re: [linux] Squid a ACL


Dekuji za radu, 2. cast je presne, co potrebuji. Potrebuji vsak, aby omezení
platila bez ohledu na IP adresu klient. pocitacu (vylozene pouze na
uzivatelske jmeno). Uzivatele totiz migruji po jednotlivych PC, a nekteri
jsou VIP a jini ne. Takze jsem myslel spise, ze skupina VIP by zahrnovala
uziv. jmena VIP uzivatelu a skupina OMEZENI by obsahovala zbyvajici
uzivatele.
Rozhodovani, zda mohou kamkoli ci pouze na nektere weby by melo tedy
probihat vylozene pouze podle jejich prihlasovaciho jmena na Squidu, nikoli
podle IP pocitace, ze ktereho pristupuji... :-)

Další informace o konferenci linux