Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов


Оригинал: http://www.artmagic.ru/labs/sqlandwin.shtml

Авторизация доступа к Интернет
на основе Windows NT' 2000 авторизации.

Вступление

Классическим решением сандарта предприятия для организации
Интернет-сервисов является сервер под управлением UNIX. Практически всегда для Web и FTP трафика используют кеширующий сервер SQUID, который также является стандартом de facto.
Стандартным способом предоставления доступа к SQUID-серверу является доступ на основе специалицированных списков доступа (Access Lists или ACL). В свою очередь списки доступа обычно строятся на основе IP-сетей, которым разрешен доступ к SQUID. Например, определим ACL,
которая описывает сеть 10.128.0.0/16 (или с маской 255.255.0.0). и ACL, которая описывает вообще все адреса
squid.conf:
acl net10128 src 10.128.0.0/16
acl all src 0.0.0.0/0
а теперь разрешим ей доступ к Интернет ресурсам
http_access allow net10128
а всем остальным - запретим:
http_access deny all

После этого, только компьютерам из заданной сети разрешен доступ к Интернет. При использовании Internet-ресурсов, в лог-файл squid
записывается информация о конкретном адресе, запросившем конкретный Интернет-ресурс:
acess.log:
1032862411.262 96 10.128.15.4 TCP_MEM_HIT/200 2581 GET
http://www.ru/eng/images/ssilki.jpg board/sag NONE/- image/jpeg

Здесь присутсвует дата, размер ресурса, IP-адрес станции, зпросившей ресурс, и сам ресурс. Из такого рода записей можно подсчитать трафик
как по станции, так и по под-сети.
Однако приведенная выше технология позволяет контролировать трафик по IP-адресу Интернет-пользователя. В большинстве случаев этот способ вполне подходит, однако при этом необходимо, чтобы за конретным компьютеров всегда работал конкретный человек.
Это условие выполняется не всегда и тогда учет трафика нарушается. Вот типичные условия, при которых требуется другая схема авторизации в
Интернете:
* Различные пользователи работают на одном и том же рабочем месте (например, посменно)
* Пользователи вообще не привязаны к конкретным компьютерам.
* Пользователи работают в терминальных сессиях терминального сервера. Тогда вообще весь Интернет-трафик идет с IP-адреса сервера.

Поэтому часто встает проблема учета трафика не на основе IP, а на основе другой информации.

Авторизация на основе логина и пароля

Логичным решением поставленной во вступлении проблемы является авторизация в SQUID по логину и раолю. Такая возможность в SQUID,
естесвенно предусмотрена. В SQUID для этого разработана возможность авторизовать через внешнюю программу, которая просто "говорит" "да или "нет" на определенног о пользователя и пароль. Т.о. Можно производить авторизацию по учетной записи умеет производить авторизацию через учетные записи UNIX, через текстовые файлы и т.п.
Например, для того чтобы пользователь авторизовался через файл /usr/local/squid/passwd формата Веб-авторизации (формат Apache), нужно
скомпилировать squid вместе с этим модулем (--enable-auth="ncsa; подробнее см. документацию к SQUID). И в конфиг SQUID добавить ACL и
разрешающее правило:

Разрешает доступ пользователям dima petya vasya, пароли которых будут проверены через файл /usr/local/squid/passwd
acl MYUSERS proxy_auth dima petya vasya
http_access allow MYUSERS
http_access deny all
authenticate_program /usr/local/squid/bin/ncsa_auth
/usr/local/squid/etc/passwd *)
*) для версии 2.4

При этом, это решает поставленные в "Введении" проблемы, однако добавляет некоторые неудобства пользователям и администратору:
* При первичном входе в Интернет пользователю нужно набрать в браузере логинпароль для доступа к SQUID. И каждому пользователю
необходимо помнить свои параметры.
* Администратору необходимо вести базу логинов и паролей в файле.

Авторизация через учетные записи Windows

При работе в Windows-сетях каждый пользователь при входе в сеть проходит авторизацию в NT(2000)-домене. Было бы здорово использовать
эти данные для авторизации SQUID. Тогда решаются проблемы ведения в SQUID отдельной базы данных пользователей и, как оказалось, можно
решить проблему запроса логинапароля в броузере при входе в Интернет.
Главная проблема при решении авторизации через Windows-домен - найти и настроить программу для авторизации заданного пользователя в
Windows-домене. Команда SQUID рекомендует пользоваться программой winbindd, которая является частью проекта SAMBA (реализация Windows сервера и клиента под UNIX), SQUID, начиная с версии 2.5 поддерживает различные схемы авторизации по логинупаролю, включая basic и NTLM (NT Lan Manager). Basic-схема предназначена для авторизации через ввод логинапароля в броузере, а NTLM-схема предназначена для автоматического приема броузером логина, пароля и домена, под которыми пользователь зарегистрировался в Windows-домене. Т.о. с помощью NTLM-авторизации можно автоматически регистрироваться в SQUID без ручного подтверждения логина и пароля.

Практическое решение построения системы авторизации через Windows домен.

Практическое решение проблемы было найдено опытным путем и может быть не самым изящным и правильным. Но прелесть его в том, что оно доделано да конца и работает.

Исходные данные

1.Компьютер, подключенный к Интернет с установленной ОС: FreeBSD 4.4 (версия и сама ОС не имеют принципиального значения)
2.Сеть, содержащая около 200 Windows-станций, включая терминальные серверы и клиенты
3.Около 250 акаунтов в домене под управлением Windows 2000 Advanced сервер (домен WORK и 4 доверительных домена).


Задача.
Обеспечить авторизацию пользователей на SQUID через учетные записи
Windowы наиболее удобным способом.

План действий
1.Установка и конфигурация SAMBA.
* Итак первое, что надо сделать - установить SAMBA для того, чтобы уметь авторизоваться в Windows-домене. Я установил версию
2.2.6pre2. Причем, важно скомпилировать SAMBA с поддержкой
winbind, т.е. С параметрами
--with-winbind
--with-winbind-auth-challenge

Примечание:
В FreeBSD SAMBA была собрана из портов (ports) и оказалось, что с текущей версией не собирается библиотека CUPS. Поэтому SAMBA была
собрана без нее (--without_cups).
* После установки, SAMBA нужно настроить на домен Windows сети и на использование winbind:
[global]
workgroup = WORK - Имя нашего Windows-домена
netbios name = vGATE - Имя сервера (необязательно)
server string = vGate
hosts allow = 10.128. 127. - Для безопасности.
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/winnt/%D/%U
template shell = /bin/bash
max log size = 50
security = domain
password server = Primary Exch - серверы паролей (PDC, BDC)
encrypt passwords = yes
Следует обратить внимание на 2 вещи:
1. Сначала в параметре password server был указан только PDC (Primary) и winbind не смог найти контроллер домена. Все заработало когда был добавлен BDC (Exch).
2. Оба имени - это NetBIOS имена и для того, чтобы они правильно интерпретировались в IP я прописал их в /usr/local/etc/lmhosts
10.128.1.40 Primary
10.128.1.34 Exch
* После этого необходимо заригестрировать SAMBA в домене Windows. Для этого нужэно набрать команду:
/usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC)
-UAdministrator
После этого, следует ввести пароль админиcтратора домена.
Наблюдались проблемы с samba 2.2.4 и регистрацией в нашем ломене - именно поэтому была поставлена версия 2.2.6 из портов.
Далее можно запустить nmbd (/usr/local/sbin/nmbd -D) лучше с включенным дебагом (-d9) и посмотреть в лог-файл, что сеть
нормально видна.
* Далее можно смело пускать winbindd (/usr/local/sbin/winbindd -d9) - тоже с дебагом и посмотреть как он себя "чувствует" в нашей сети. Спустя примерно секунд 10, можно проверить а запустился ли winbind и функционирует ли он.
* Для взаимодействия с winbind служит команда wbinfo. Проверить "видит" ли она winbindd вообще можно командой wbinfio -p. Если она
ответит: 'ping' to winbindd succeeded, то значит все в порядке.
Иначе надо смотреть в лог-файл winbindd и понимать почему он не запустился. (На самом деле запускается он всегда, да вот на запросы отвечает только если правильно видит сеть). Далее можно попробовать проверить а видит ли winbindd сервер с паролями пользователей (wbinfo -t). Сервер должен сказать "Secret is good".
Если получен ответ "Secrets is bad" то скорее всего проблемы с библиотеками winbindd.
1. Остановите smbd и winbindd
2. Удалите файлы secrets.tdb и MACHINE.SID (последнего может и не быть)
3. На PDC удалите запись о компьютере и одождите удаления его из кэша (примерно 10 минут)
4. cp nsswitch/libnss_winbind.so /libln
5. ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.1
6. ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.2
7. В файле /etc/nsswitch.conf должен содержать стро вида passwd: files winbind group: files winbind
8. Запустите smbd
9. Запустите winbindd
10. Добавте машину в домен, как указано выше.
11. Проверьте правильность работы командой wbinfo -t

Если выдержать нужный интервал в пункте 3, то всё должно заработать.

И, наконец, можно попробовать авторизоваться из UNIX в Wondows домен:
wbinfo -a пользователеь_домена%пароль.

Если пользователь авторизовался, будет выдано:
plaintext password authentication succeeded
error code was NT_STATUS_OK (0x0)
challenge/response password authentication succeeded
error code was NT_STATUS_OK (0x0)

Если неправильный пароль, то
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Could not authenticate user dmn%doct with plaintext password
challenge/response password authentication faile
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Could not authenticate user dmn with challenge/response

Все это значит, что модуль wbinfo наконец настроен и правильно функционирует. Можно приступать к настройке SQUID.

2.Теперь нужно настроить SQUID.
* Для начала, нужно отметить, что NTLM схему поддерживает SQUID, начиная с версии 2.5. Поэтому я скачал версию 2.5.PRE13.
* Далее, SQUID нужно скомпилировать с поддержкой схем авторизации и модулем
winbind../configure -enable-auth="ntlm,basic"
--enable-basic-auth-helpers="winbind"
--enable-ntlm-auth-helpers="winbind"
* Теперь можно проверить а понимает ли SQUID-овский авторизатор winbind. Для этого нужно запустить:
/usr/local/squid/libexec/wb_auth -d
И ввести вручную имя пароль (через пробел).
Если все работает корректно, то программа выдаст
/wb_auth[91945](wb_basic_auth.c:129): Got 'dmn XXXXX' from squid
(length: 10).
/wb_auth[91945](wb_basic_auth.c:55): winbindd result: 0
/wb_auth[91945](wb_basic_auth.c:58): sending 'OK' to squid
* После этого, нужно настроить squid, чтобы он корректно работал на
основе IP-авторизации (см введение).
* Теперь осталось подключить авторизацию к SQUID. Для этого в
конфиге SQUID нужно описать в схемы авторизации через winbind
auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutesauth_param basic
program /usr/local/squid/libexec/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
Причем важно чтобы NTLM авторизация шла первой, иначе будет применяться авторизация basic и IE будет спрашивать пароль.
* Дальше нужно сделать соответсвующую ACL и параметр доступа. Важно, чтобы это шло после описания авторизаций.
acl myusers proxy_auth REQUIRED
http_access allow myusers
http_access deny all
Теперь остается запустить SQUID и все проверить.

Что должно быть
* Если пользователь авторизовался в домене, то IE не спросит пароль, а пойдет сразу в Интернет. Причем, в лог-файле SQUID будет
бесценная информация, а кто это был:
1032943720.839 180 10.128.36.5 TCP_CLIENT_REFRESH_MISS/200 1280
GET http://www.ru/eng/images/demos.jpg workdmn DIRECT/194.87.0.50 image/jpeg
Т.е. Это был пользователь dmn из домена work.
* Если пользователь не авторизовался в домене - его спросят логин и пароль. Если он введет логинпароль такой же, как при входе в домен, то его пустят в Интернет.
* Если пользователь пользуется не IE (например, Mozilla, Netscape, Opera), он будет должен набрать свой логин и пароль для авторизации в Windows.
* Если аккаунт в Windows-домене закрыт, то и доступ в Интернет будет закрыт.

Примечания
* Winbind корректно авторизует не только в заданном домене, но и в Trust-доменах, TRUST-домены можно посмотреть командой wbinfo -m
* Вообще у команды wbinfo есть масса полезных функций, подробнее их можно узнать wbinfo -h
* По умолчанию для FreeBSD 4.4 из портов устанавливается версия SQUID 2.4. Она не подходит. Пакет нужно качать с сайта www.squidcache.org.
* Пути к программам для различных ОС могут быть разными

Ссылки
* Документация по SQUID: http://www.squid-cache.org
* FAQ по SQUID как надо настраивать WinBIND авторизацию: http://www.squid-cache.org/Doc/FAQ/FAQ-23.html
* Документация по SAMBA: www.samba.org
* Поиск по группам новостей через http://www.google.com по поисковым словам squid winbind wb_auth ntlm

Отзывы и дополнения присылайте Дмитрию Новикову на адрес dmn@nnz.ru

Дополнения после публикации на http://www.linux.org.ru
Господин с ником "and3008" дополняет и разъясняет:
1. Авторизация при прозрачном кэшировании НЕВОЗМОЖНА!
2. Про безопасность: NTLM действительно является не безопасной штукой.
По крайней мере версия 1.0 В WinNT 4.0 с SP3 и выше и Win2000
используется NTLM версии 2.0 В Самбе он так же используется по
умолчанию (с версии 2.2.0 кажись). plain-text используется когда
клиент (браузер) не умеет авторизоваться по NTLM. На сегодняшний день
это умеет делать только IE 4.X и выше. Пароль при plain-text
авторизации все же не передается в чистом виде. Применяется
кодирование base64. Так что школьники-кулхацкеры вероятно отдохнут. :)

3. Лирическое отступление по поводу паролей. Более-менее надежной
является аутентификация через Kerberos, но дядя Билл сделал в W2K свою
реализацию Kerberos и таперича его низя использовать из других
(отличных от Windows) систем. В связи с этим Самба доселе не может
подружиться с W2K доменом в режиме native.

4. Аутентификация NTLM не работает в случае если кэши работают в
режиме "ёлки". Авторизацию NTLM over HTTP не работает через иерархию
прокси. Это ФАКТ!

Много вопоросов было как авторизовать опреленные группы из Wondows
домена. Господин с ником "debosh2k" разъясняет:
Для авторизации групп - --enable-external-acl-helpers="winbind_group"
(это при компилировании SQUID) далее идем в
$src/helpers/external_acl/winbind_group и читаем readme. Пишем три
строки в конфге (SQUID) и тащимся.
PS. Есть еще wbinfo_group тамже - враппер на перле.





<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [Ajax режим | Смотреть все]

Очень мало информации для новичка ну неужели это все ..., Денис, 08:57:44, 06/02/2003 (1)
текст скрыт [посмотреть] [смотреть все]


Интересно и обстоятельно Уже начал все переделывать-п..., cr, 15:32:14, 24/02/2003 (2)
текст скрыт [посмотреть] [смотреть все]


Сделал все так как описано Не работает Причины вижу 2..., Arthur, 19:23:52, 20/03/2003 (3)
текст скрыт [посмотреть] [смотреть все]



native mode здесь ни при чем Авторизация в прозрачном ..., logan, 10:32:08, 13/10/2006 (52)
текст скрыт [посмотреть] [смотреть все]


У меня домен простроен на Samba-tng LDAP А как в это..., fduch, 13:11:24, 28/04/2003 (4)
текст скрыт [посмотреть] [смотреть все]


1 Имеем сеть конторы ок 50 машин в домене вин2к кото..., gag, 13:28:47, 24/05/2003 (5)
текст скрыт [посмотреть] [смотреть все]


Столкнулся с проблемой пользователи c русскими именами..., Дмитрий, 16:16:37, 26/05/2003 (6)
текст скрыт [посмотреть] [смотреть все]


Везде написано как сделать аутентификацию с помощью win..., Алексей, 11:25:24, 16/07/2003 (7)
текст скрыт [посмотреть] [смотреть все]


Установил я самбу из портов во фрях 4 7 И не обнаружил ..., alexus, 07:18:06, 08/10/2003 (8)
текст скрыт [посмотреть] [смотреть все]



smbpass - читай - net join ..., Maxim, 12:22:57, 10/10/2003 (11)
текст скрыт [посмотреть] [смотреть все]


как открыть порты smtp и pop3 в squid conf..., kanat, 10:37:11, 08/10/2003 (9)
текст скрыт [посмотреть] [смотреть все]


а разве можно почтовые программы настроить через прокси..., alexus, 06:18:22, 09/10/2003 (10)
текст скрыт [посмотреть] [смотреть все]



-..., Дмитрий Ю. Карпов, 12:47:44, 27/11/2003 (13)
текст скрыт [посмотреть] [смотреть все]


А пробовал ктото привязать на Фрибсд5 Самбу3 плюс сквид..., Piter Ring, 16:31:43, 25/11/2003 (12)
текст скрыт [посмотреть] [смотреть все]



Supported Samba Releases Squid 2 5 uses an internal Sam..., MF_FLIP, 10:32:43, 19/12/2003 (14)
текст скрыт [посмотреть] [смотреть все]


читай какой версии winbind юзается в squid e squid inc..., inney, 14:05:25, 28/04/2004 (16)
текст скрыт [посмотреть] [смотреть все]


Mozilla поддерживает NTLM с 1 4, единственная серьёзная..., Simba, 21:28:03, 25/04/2004 (15)
текст скрыт [посмотреть] [смотреть все]


Маааленькое дополнение Если PDC Win 2003 Server по..., vlad, 11:21:33, 08/06/2004 (17)
текст скрыт [посмотреть] [смотреть все]


Проблема такая, при вводе команды net join -I 192 168 1..., gagus, 22:49:27, 10/07/2004 (18)
текст скрыт [посмотреть] [смотреть все]



И что, решил ты эту проблему Ответов что-то не наблюда..., GreatFoolDad, 15:29:05, 04/10/2004 (23)
текст скрыт [посмотреть] [смотреть все]


Вот это очень похоже на то что нет или неверный etc kr..., Olegas, 21:19:07, 11/10/2004 (25)
текст скрыт [посмотреть] [смотреть все]


А как при использовании НТ авторизации замутить огранич..., maddog, 15:08:11, 12/07/2004 (19)
текст скрыт [посмотреть] [смотреть все]



меня тоже волнует этот вопрос..., alistro, 17:18:07, 13/07/2004 (20)
текст скрыт [посмотреть] [смотреть все]


Как быть если есть левые пользователи в не домена Возм..., NTLM пользователи вне домена, 14:50:01, 10/08/2004 (21)
текст скрыт [посмотреть] [смотреть все]


сделал все работает дистрибутив asp9 samba-3 0 6 из RPM..., zmej, 11:41:08, 08/09/2004 (22)
текст скрыт [посмотреть] [смотреть все]



А если у меня winbindd лежит в usr sbin и прова на вып..., Black_Dragon, 14:56:58, 06/10/2004 (24)
текст скрыт [посмотреть] [смотреть все]


FreeBSD 5 2 Squid 2 5 Samba 3 0 6 DС s OS Win2003 serve..., Olegas, 21:24:32, 11/10/2004 (26)
текст скрыт [посмотреть] [смотреть все]



в smb conf параметр winbind use default domain no и б..., nuz, 04:20:47, 18/10/2004 (27)
текст скрыт [посмотреть] [смотреть все]


у меня самба работает через openldap можно ли сделать т..., arruah, 07:49:30, 27/10/2004 (28)
текст скрыт [посмотреть] [смотреть все]


GhjПроал все выше казанное В домен ввел - все ОК trit..., Nichls, 16:12:59, 03/11/2004 (29)
текст скрыт [посмотреть] [смотреть все]



Вот это вот говорит о том, что прокси не принял авториз..., Olegas, 00:50:25, 04/11/2004 (30)
текст скрыт [посмотреть] [смотреть все]



Привет Спасибо, что откликнулся Начну по порядку 1 ..., Nichls, 14:43:03, 05/11/2004 (31)
текст скрыт [посмотреть] [смотреть все]



Начнем с конца Как узнал имя NTLM TlRMTVNTUAACAAA..., Olegas, 15:01:53, 05/11/2004 (32)
текст скрыт [посмотреть] [смотреть все]



1 triton usr local samba bin wbinfo -p ping to win..., Nichls, 18:55:05, 05/11/2004 (33)
текст скрыт [посмотреть] [смотреть все]



К сожалению я все это проделывал на самбе 3 0 6,поэтому..., Olegas, 15:31:42, 08/11/2004 (34)
текст скрыт [посмотреть] [смотреть все]



Привет Поставил samba 3 0 8 squid-2 5 STABLE6 На вых..., Nichls, 19:59:32, 30/11/2004 (35)
текст скрыт [посмотреть] [смотреть все]



1 Машина с IE в домене 2 Юзер в домене авторизовался..., Olegas, 21:23:09, 30/11/2004 (36)
текст скрыт [посмотреть] [смотреть все]



Привет 1 Да 2 Да 3 Да 4 Думаю, что да По шарам на..., Nichls, 11:27:56, 02/12/2004 (37)
текст скрыт [посмотреть] [смотреть все]



Судя по логам пока все ок А что пишется в логах при по..., Olegas, 11:38:16, 02/12/2004 (38)
текст скрыт [посмотреть] [смотреть все]



Привет Начал логинится и вот что увидел piton usr l..., Nichls, 12:08:30, 02/12/2004 (39)
текст скрыт [посмотреть] [смотреть все]



Коментарий к И еще вот лог winbind a piton tail -20 ..., Nichls, 14:23:38, 02/12/2004 (40)
текст скрыт [посмотреть] [смотреть все]



Вроде поборол Теперь при выходе в Интернет IE, если по..., Nichls, 18:55:50, 02/12/2004 (41)
текст скрыт [посмотреть] [смотреть все]


вроде запела песня эта хриплая а как можно сделат..., Pashka, 20:14:28, 15/02/2005 (42)
текст скрыт [посмотреть] [смотреть все]



эти товарищи пойдут без авторизации acl trusted src 1..., Olegas, 22:19:59, 15/02/2005 (43)
текст скрыт [посмотреть] [смотреть все]



Есть решение!, vovan, 18:37:14, 04/05/2006 [ответить] (47)
>>вроде запела песня эта хриплая... :)
>>
>>а как можно сделать, чтоб с части IP-ов можно было без авторизации
>>выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне
>>- проверяло бы.
># эти товарищи пойдут без авторизации
>acl trusted src 192.168.17.1
>acl trusted src 192.168.18.0/24
>http_access allow trusted
>
>#а эти с авторизацией
>acl auth proxy_auth REQUIRED
>acl untrusted src 192.168.200.0/24
>http_access allow untrusted auth
>
>#кажется так, вроде не напутал
>
>http_access deny all
>
>>
>>и всетаки... есть ли решение с учетными записаями на русском? оно вроде
>>в винбинд юникод пихает если я правильно угадал из дебагмоды.
>
>Есть, в коях пишешь слудующие штуки (может быть можно и не в
>коях, все зависит от настроек самбы, у меня настроено на KOI8-R
>и работает с русскими именами)
>acl auth_vasya proxy_auth DOMAINВася
>http_access allow auth_vasya

а если у меня этих Вась мнооого?



Записываешь их всех. Или пишешь скрипт к, Olegas, 19:06:17, 04/05/2006 [ответить] (48)
Записываешь их всех. Или пишешь скрипт который зделает это за тебя


Авторизация Windows-пользователей в SQUI, uuu, 17:47:19, 26/01/2006 [ответить] (45)
а зачем это надо если pppoe клиент в xp может брать имя и пароль из домена?
остается тока настроить pppoe сервер или поставить аппаратные и прописать ему юзеров с пассами из домена



Авторизация Windows-пользователей в SQUI, Nichls, 19:37:10, 04/05/2006 [ответить] (49)
Спрашивается, а зачем вообще заводить пользователей с русскими логинами?
PS
Да и вообще, зачем их самому заводить 8)?
Пусть это делает отдел кадров (такое подразделение есть практически в любой конторе), а мудрый скрипт все выгружает в АД. ИМХО.



Авторизация Windows-пользователей в SQUI, vovan, 10:10:33, 05/05/2006 [ответить] (50)
Да не я их заводил... в наследство досталось... вот и пытаюсь как-то подружить


Авторизация Windows-пользователей в SQUI, hash, 19:08:38, 11/10/2006 [ответить] (51)
А кто-нибудь после сквида смог накормить этим хозяйством SquidGuard'а? Т.е. резать не по аресу, а по имени полученному из AD? Если да, то поделитесь опытом плз.



Авторизация Windows-пользователей в SQUI, Артм, 17:22:28, 26/10/2006 [ответить] (53)
Вопрос:
есть Домен,в нём есть группы iusers1 iusers2 iusers3
как реализовать?:
авторизация через winbindd
так чтоб группа iusers1 соответствовала своему acl name'у, допустим usr1;а остальные группы соответственно usr2 и usr3
ОГРОМНА ПРОСЬБА ПОМОГИТЕ !!!!
ЗЫ: Напишите пример конфига !!!



Авторизация Windows-пользователей в SQUI, Shapelsa, 16:24:00, 28/10/2006 [ответить] (54)
Зачем winbindd ???
Зачем samba ???
http://group-ldap-auth.sourceforge.net/
нашол тута http://www.squid-cache.org/related-software.html
на оффсайти


Авторизация Windows-пользователей в SQUI, Squidnik, 17:10:23, 13/02/2007 [ответить] (55)
А если не группы, а пользоватлей раскидать по разным acl например так
acl BOSS proxy_auth Admin BOSS
acl Client proxy_auth User1 User 2 ...UserX
acl Clients proxy_auth REQUIRED # dctостальные
так сработает ?

Обновлено: 13.03.2015