Вопрос - прокся без авторизации но с ограни&#



  • Всем привет. Пару дней уже мучаюсь с данной проблемой -
    Задача у меня такая: Настроить проксю для офиса с определёнными требованиям

    • без ввода пароля со стороны пользователя
    • привязка прав доступа в интернет к группе АД пользователя домена

    в непрозрачном режиме вроде всё работает но ввод пароля пользователем не допустим в моём случае а в прозрачном режиме не работают правила основанные на группе в АД на ДК

    вообще возможно так сделать чтоб у юзера не запрашивался пароль и логин и при этом на него распростронялись ограничения в соответствии с его группой в актив директри?



  • А зачем мучится? В поисковике "забейте" "pfsense squid active directory".
    Много разных способов. Вот например https://fakirss.wordpress.com/2017/05/04/%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F-%D0%B2-squid-%D1%87%D0%B5%D1%80%D0%B5%D0%B7-kerberos-%D0%BD%D0%B0-pfsense/ или вот в FAQ этого форума https://forum.pfsense.org/index.php/topic,46843.0.html
    P.S. Если хотите использовать группы AD, то нужно добавить типо такого
    после auth_param negotiate program и прочего типа
    auth_param negotiate children 60
    auth_param negotiate keep_alive off

    external_acl_type inet_medium ttl=300 negative_ttl=60 children-startup=5 children-max=20 ipv4 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -a -g Internet -D ВашДомен.RU
    external_acl_type inet_full ttl=300 negative_ttl=60 children-startup=5 children-max=20 ipv4 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -a -g Internet_Full -D ВашДомен.RU
    external_acl_type inet_low ttl=300 negative_ttl=60 children-startup=5 children-max=20 ipv4 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -a -g Internet_Low -D ВашДомен.RU

    далее
    acl Full external inet_full
    acl Medium external inet_medium
    acl Low external inet_low

    И даже можно попробовать
    delay_pools 3
    delay_class 1 4 # 2 Mbit user / 8 Mbit group
    delay_class 2 4 # 1 Mbit user / 4 Mbit group
    delay_class 3 4 # 500 Kbit user / 2 Mbit group
    delay_parameters 1 -1/-1 -1/-1 -1/-1 250000/1000000
    delay_parameters 2 -1/-1 -1/-1 -1/-1 125000/500000
    delay_parameters 3 -1/-1 -1/-1 -1/-1 62500/250000
    delay_access 1 allow Full
    delay_access 2 allow Medium
    delay_access 3 allow Low

    P.S. Хотя тут https://forum.pfsense.org/index.php?topic=145753.0 пишут что не работает, возможно плохо готовят

    P.P.S Забыл написать (хотя возможно это и очевидно) что нужно завести в домене группы "Internet", "Internet_Full" и "Internet_Low".

    путь к хелперам - /usr/local/libexec/squid/

    кальмар на 2.3.5 собран с поддержкой delay pools, так что должно работать.

    Squid Cache: Version 3.5.27
    Service Name: squid

    This binary uses OpenSSL 1.0.1s-freebsd  1 Mar 2016. For legal restrictions on distribution see https://www.openssl.org/source/license.html

    configure options:  '–with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache' '--without-gnutls' '--enable-auth' '--enable-zph-qos' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--disable-arch-native' '--enable-eui' '--enable-cache-digests' '–enable-delay-pools' '–disable-ecap' '--disable-esi' '--enable-follow-x-forwarded-for' '--enable-htcp' '--enable-icap-client' '--enable-icmp' '--enable-ident-lookups' '--enable-ipv6' '--enable-kqueue' '--with-large-files' '--enable-http-violations' '--without-nettle' '--enable-snmp' '--enable-ssl' '--with-openssl=/usr' 'LIBOPENSSL_CFLAGS=-I/usr/include' 'LIBOPENSSL_LIBS=-lcrypto -lssl' '--enable-ssl-crtd' '--disable-stacktraces' '--disable-forw-via-db' '--enable-wccp' '--enable-wccpv2' '--with-mit-krb5=/usr/local' 'CFLAGS=-I/usr/local/include -O2 -pipe  -I/usr/local/include -I/usr/local/include -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS=-L/usr/local/lib  -pthread -L/usr/local/lib -lpcreposix -lpcre -L/usr/local/lib -L/usr/local/lib  -Wl,-rpath,/usr/local/lib:/usr/lib -fstack-protector' 'LIBS=-lkrb5 -lgssapi_krb5 ' 'KRB5CONFIG=/usr/local/bin/krb5-config' '--disable-ipf-transparent' '--disable-ipfw-transparent' '--enable-pf-transparent' '--with-nat-devpf' '--enable-auth-basic=LDAP SASL DB SMB_LM MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=LDAP_group file_userip time_quota unix_group kerberos_ldap_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=aufs diskd ufs' '--enable-disk-io=DiskThreads DiskDaemon AIO Blocking IpcIo Mmapped' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-storeid-rewrite-helpers=file' '--prefix=/usr/local' '--mandir=/usr/local/man' '--disable-silent-rules' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd10.3' 'build_alias=i386-portbld-freebsd10.3' 'CC=cc' 'CPPFLAGS=-I/usr/local/include -I/usr/local/include' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/local/include -I/usr/local/include -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing  -Wno-unknown-warning-option -Wno-undefined-bool-conversion -Wno-tautological-undefined-compare -Wno-dynamic-class-memaccess' 'CPP=cpp' --enable-ltdl-convenience


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy