yakostik
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Renua А причем тут политики не путайте теплое с мягким. От АД вы можете взять только проверку пароля и группу в которую входит пользователь скажем для того что бы поработать с листами доступа или скоростью и все. У меня юзается керберос и ntlm конфиг выше приводил по сути те две строки это единственное что надо. Если хватает только кербероса то для авторизации достаточно вот этого auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/kis.may.com@MAY.COM auth_param negotiate children 350 startup=20 idle=25 auth_param negotiate keep_alive off а проверка групп так и остается external_acl_type ldap_group ttl=3600 ipv4 children-max=50 children-startup=50 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -d -P -R -K -b "dc=may,dc=com" -f "(&(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%a,ou=Internet Sharing,dc=may,dc=com))" -D "squid@my.com" -w "Gfccgjhn201#" -h dc1.may.com затем просто в конфиге раскидываете пользователей по acl на основании членства в группе как то так acl unblocksyte external ldap_group unBlockSite или так acl Unlim4mb external ldap_group "/etc/squid3/group/unlim4mb.txt" файл нужен для того что бы правильно вычитывать группу с пробелом в имени потому что при тестирование из консоли прокатывает подмена пробела на %20, а вот при работе из конфига нет потому юзаю файл где всего одна строка с именем группы с пробелами как в АД А по поводу пароля есть два варианта либо у Вас не настроена самба для ntlm или krb5 для кербероса либо если это единичный случай то пользователь мог тупо неверно забить пасс руками Добавлено: ДА и еще отвечаю на свои же вопросы может кому поможет количество деток для проверки группы может быть очень маленьким они практически не нагружаются (у меня запустилось всего 10 работали 2 первых), количество деток для самого кербероса где то в половину от количества запросов в сек которые обрабатывает сквид. Ну и про затык, лично мне помогла добавка в файл /etc/default/squid3 таких строк KRB5RCACHETYPE=none export KRB5RCACHETYPE Сегодня сервер отработал день, переварил судя по логу больше чем полтора миллиона проверок авторизации и на все про все запустил всего 45 чилдренов причем 800к проверок взял на себя первый процесс авторизации остаток распредилился по остальным 13 ну и на чилдренах номер 15 и ниже висит от 10 до 2 авторизаций. | Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 22:29 07-07-2015 | Исправлено: yakostik, 22:43 07-07-2015 |
|