squid+ad запрет досупа к сайтам по группам

[exellex]

Есть Ubuntu 12.04 server (squid3+sams2+ad).
Подскажите как настроить squid чтобы он запрещал доступ к сайтам для определённых групп пользователей из ad?
Список сайтов есть,правила есть но блокируется доступ всем.Как разделить блокировку.
Squid3.conf:

(Нажмите, чтобы показать/скрыть)

acl block dstdomain "/etc/squid/block.acl"
http_access deny block

block.acl соответсвенно файл запрета сайтов

[botsman]

А где список кому запрещено?

[exellex]

вот я и хочу узнать как этот список должен выглядеть

[botsman]

Описание группы в конфиге Squid:

Код: [Выделить]

acl BlockUser proxy_auth "/etc/squid3/BlockUser.conf"Содержимое /etc/squid3/BlockUser.conf:

Код: [Выделить]

login1
login2
...
loginN
И соответственно правило:

Код: [Выделить]

http_access deny block BlockUser

[exellex]

спасибо попробую
Пользователь решил продолжить мысль 19 Ноября 2013, 21:28:31:а ещё такой вопрос: http_access deny block BlockUser ставить перед http_access deny block(запрет сайтов) или после?

[botsman]

дело в том что правило:

Код: [Выделить]

http_access deny block BlockUserзапрещает доступ пользователей из BlockUser к ресурсам из block
а правило:

Код: [Выделить]

http_access deny blockзапрещает доступ к ресурсам block.
Чувствуете разницу???

P.S. Второе правило не использует к список пользователей (распространяется на всех).

[exellex]

ещё такой момент вы указали параметр: acl BlockUser proxy_auth а в конфиге squid стоит по умолчанию acl BlockUser proxy_auth [-i] и ещё есть параметр acl BlockUser proxy_auth_regex [-i] так как правильно?
Пользователь решил продолжить мысль 22 Ноября 2013, 11:08:44:всё разобрался
Пользователь решил продолжить мысль 22 Ноября 2013, 11:11:32:остался последний момент: при доступе к запрещённому сайту выводиться авторизация пользователя, а не страница запрета (только с 3-го раза) авторизации выкидывает на станицу.Можно как-то сделать чтобы сразу на страницу запрета?

[exellex]

ну подскажите где искать? и при чём в не зависимости разрешён или запрещён сайт, при обращении к любому сайту пользователь,которой находиться в списке запрета доступа постоянно требует авторизацию.

[botsman]

Я привел Вам пример как организовано у меня (у меня простая авторизация по логин/пасс, без Active Directory), так что, к сожалению, по Вашему вопросу подсказать вряд-ли смогу, хотя, посмотрите в man'ах как пользователей по группам разнести...

[kac]

rejik

[AnrDaemon]

При чём тут это?

[exellex]

создам отдельную тему-может кто поможет

[botsman]

посмотри для примера мой конфиг

[exellex]

разобрался: надо создать 2 группы
1 (GoodUser)доступ разрешён ко всем сайтам
2 (BlockUser) доступ разрешён ко всем сайтам кроме запрещённых
squid.conf:

(Нажмите, чтобы показать/скрыть)

#Блокируем Сайты
acl blocked_urls url_regex -i "/etc/squid3/blocked_urls.acl"
создаем группу безопасности GoodUser: группа имеет доступ без ограничений по месту и контенту
acl GoodUser proxy_auth -i "/etc/squid3/GoodUser.acl"
создаем группу безопасности BlockUser: группа имеет доступ на все сайты за исключением определенных
acl BlockUser proxy_auth -i "/etc/squid3/BlockUser.acl"
http_access allow GoodUser all
http_access allow BlockUser all !blocked_urls      - разрешен выход везде кроме плохих сайтов
acl password proxy_auth REQUIRED
http_access deny all