Squid proxy authentikáció -egy felhasználó csak egy helyről

Linux-kezdő

Squid proxy authentikáció -egy felhasználó csak egy helyről

  • 1043 megtekintés

( cheeky v | 2004. 10. 02., szo – 13:19 )

[quote:e55d7f7724="tothit"]
...
Nagyon köszi cheeky !

Ki is próbáltam. Az az egy gond van vele hogy a hibaüzenetben a kliens csak azt kapja meg hogy hozzáférés megtagadva, arról nem kap információt hogy azért mert más felhasználó van az ő nevével belépve
:cry:

Neked is így működik??...

tothit:
Khmm, khmm... :oops: Bocsi, spórolni akartam, és nem olvastam utána, nálam is így megy, mert a woody-ban még csak ez volt. (2.4-es squid)...
De láttam már, hogy 2.5-ben finomítottak rajta, hát most tartottam egy kis RTFM-et, és a megoldás, hogy a max_user_ip ACL-t kell használnod, amire már tudsz egyedi hibaüzenetet kiírni...
Ettől még az előbbi opciók határozzák meg, hogy mennyi ideig rendelődjön egy IP-hez egy user, tehát kombinálva célszerű használni.
Remélem ez már tökéletesen fedi az igényeidet... :twisted:

( cheeky v | 2004. 10. 02., szo – 13:35 )

[quote:7277868fbd="kagy"]
Azt hiszem ez tökéletes megoldás. Ki próbálom de nagyon jól hangzik!
Ebben az esetben amikor ujra olvassa a konfig állományt az aktív / zajló kapcsolatokat nem zavarja? (tehát nem csinál olyat a squid mint restartkor hogy mindent szállat leállít és újra indul)

A reconfgure nem befolyásolja a folyó kapcsolatokat, csak az új request-ekre van 6ással...

[quote:7277868fbd="kagy"]
Még egy kérdésem van squid ügyben
Tud e a squid olyat hogy terhelés elosztás az az
A fenti iskolába 2 ADSL-t kötöttek be azt tervzem hogy lesz egy linux (ebben 3 db hállókártya 2 kifele Publikus IP-vel 1 befele lokális IP-vel) squiddal.
Kliensek a proxyn keresztül mennek ki.
Valami olyasmire gondolok hogy az egyik (belső) kérést az egyik a másik kérést a squid a másik ADSL-re rakja.
Ha jól láttam ezt statikusan meg tudja csinálni, de dinamikusan nem.
Jól láttam ?

Hehh, tipikus probléma... :)
Erre én a következő igen-igen prosztó megoldást találtam ki:
Mivel a squid magában nem tudja elosztani két kimenő csatorna közt a forgalmat, ezért kicsit át kell verni. Két parent proxy között ugyanis tud balance-olni, innen már 1xű, fogod, felhúzol két primitív, nem cache-elő, nem authentikáló proxy-t a két kifelé menő irányhoz, (lehet squid, de megteszi a tinyproxy is), aztán fogod, és futtatsz egy olyan squid-et, aminek ez a két proxy a parent-je, egyenlő súllyal.
Mondom, prosztó trükk, de jól működik. Egy probléma lehet vele, egy-két régebbi, bénább fórum motor nem szereti, ha a bejelentkezett session IP-je megváltozik. Hogy miért, az jó kérdés, tekintve a DHCP-s klienseket is akár, de hát egyesek szarul programoznak. :evil: Szerencsére manapság már ritka az ilyen.

( uid_952 | 2004. 09. 30., cs – 15:16 )

Hogyan lehet megoldani hogy a Squid egy felhasználót egyszerre csak egy helyről engedjen be?

...a többiekkel meg nyilván közölje hogy ezzel a névvel már valaki be van jelentkezve.

Köszi
Hali

( x-daemon | 2004. 09. 30., cs – 17:33 )

ha tudod dedikálni pl. ip címre hogy honnan akkor ok, de ha nem, akkor a proxy mindig úgy látja, hogy az adott felhasználó mindig csak egy helyről jelentkezett be. ez olyan hogy van egy felhasználó bejelentkezik egy gépre, majd átül egy másik géphez és oda is bejelentkezik. a proxynak mindegy hogy ez közben 1 óra vagy csak 1 tizedmásodperc telt el, mindig azt látja hogy 1 helyről van bejelentkezve. magyarul a kliens-proxy nem folyamatos, hanem minden egyes letöltött url-nél (1 sor a logban) a kliens újból és újból elküldi az név/jelszó párost. remélem el tudtam magyarázni.

( cheeky v | 2004. 10. 01., p – 09:57 )

Hi!

Ha jól értelmezem a kérdésed, akkor a
[code:1:c7d9b0d105]authenticate_ip_ttl 120 seconds
authenticate_ip_ttl_is_strict on[/code:1:c7d9b0d105]
a te barátod...

Ezzel azt éred el, hogy a user, aki authentikált a proxyhoz vmilyen IP-ről, nem tud két percen belül másik IP-ről request-et küldeni, vagyis tud, de nem szolgálja ki a proxy. A strict miatt, ha ilyen történik, az első IP-ről is újra kell authentikálni a következő kéréskor...

( kagy | 2004. 10. 01., p – 10:22 )

Szia!

Részben kapcsolódik a témához!

Iskolába kellene proxy-t beállítani az lenne az igény hogy a tanulók gépit külön külön lehessen szabályozni hogy netezhet e vagy se. Mind ezt úgy hogy a tanár pl.: valamilyen webes felületen megadja hogy melyik gép netezhet és melyik nem. Minél egyszerűbben kellene megoldani az nem megoldás hogy szerkessze a squid.conf-ot :)

Következő megoldás jutott az eszembe:
Valamilyen adatbázisban lerakni felhasználó nevet + jelszót + Aktív nem aktív (webes felületen állítani az adatbázisban a aktív nem aktív flag-et)
A squid-hoz meg írni egy kis progit ami a auth_program segítségével ellenőrzi és be engedi a felhasználót ha minden ok.

Egyetlen egy problémám van a fentiekkel mégpedig valahogy meg kellene adni hogy user1 csak melyik IP-ről jelentkezhet be.
Ezt hogyan lehet megadni az squidnak?

Esetleg valaki nem tud valamilyen kész progit a fenti probléma megoldására?
Már csak azért hogy ne találjam fel újra a spanyol viaszt!

Üdv
kagy

( cheeky v | 2004. 10. 01., p – 11:49 )

Hali kagy!

Kell okvetlen ilyen környezetben is a felhasználónév/jelszó?
Szerintem jobban jársz, ha mondjuk fix IP-sek a gépek, pl: 192.168.teremszám.terminálszám, és a proxy gépen van egy file, amibe soronként felsorolod az engedélyezett címeket. Apache + perl CGI-ben 1 délután kezelőfelületet csinálni a filehoz...
A felületen ha változik vmi, submit után meg kell módosítani a file-t, és csinálni egy [code:1:0087a8d007]squid -k reconfigure[/code:1:0087a8d007]-t... A squid.conf-ba meg csak egy csini ACL kell, vmi ilyesmi:
[code:1:0087a8d007]acl AllowedClients src "/var/lib/squid/allowedclients.lst"
http_access allow AllowedClients
http_access deny all[/code:1:0087a8d007]
Na valahogy így képzelném én, gyorsan és 1xűen...
Bonyolultabban csinál6od az egészet squidGuard-dal is, de minek.

( uid_952 | 2004. 10. 01., p – 13:54 )

[quote:8a3a208a4e="cheeky"]Hi!

Ha jól értelmezem a kérdésed, akkor a
[code:1:8a3a208a4e]authenticate_ip_ttl 120 seconds
authenticate_ip_ttl_is_strict on[/code:1:8a3a208a4e]
a te barátod...

Ezzel azt éred el, hogy a user, aki authentikált a proxyhoz vmilyen IP-ről, nem tud két percen belül másik IP-ről request-et küldeni, vagyis tud, de nem szolgálja ki a proxy. A strict miatt, ha ilyen történik, az első IP-ről is újra kell authentikálni a következő kéréskor...

Nagyon köszi cheeky !

Ki is próbáltam. Az az egy gond van vele hogy a hibaüzenetben a kliens csak azt kapja meg hogy hozzáférés megtagadva, arról nem kap információt hogy azért mert más felhasználó van az ő nevével belépve
:cry:

Neked is így működik??

( kagy | 2004. 10. 01., p – 16:21 )

[quote:3373064ec7="cheeky"]
Kell okvetlen ilyen környezetben is a felhasználónév/jelszó?

Nem!

[quote:3373064ec7="cheeky"]
[code:1:3373064ec7]acl AllowedClients src "/var/lib/squid/allowedclients.lst"
http_access allow AllowedClients
http_access deny all[/code:1:3373064ec7]
Na valahogy így képzelném én, gyorsan és 1xűen...

Azt hiszem ez tökéletes megoldás. Ki próbálom de nagyon jól hangzik!
Ebben az esetben amikor ujra olvassa a konfig állományt az aktív / zajló kapcsolatokat nem zavarja? (tehát nem csinál olyat a squid mint restartkor hogy mindent szállat leállít és újra indul)

Még egy kérdésem van squid ügyben
Tud e a squid olyat hogy terhelés elosztás az az
A fenti iskolába 2 ADSL-t kötöttek be azt tervzem hogy lesz egy linux (ebben 3 db hállókártya 2 kifele Publikus IP-vel 1 befele lokális IP-vel) squiddal.
Kliensek a proxyn keresztül mennek ki.
Valami olyasmire gondolok hogy az egyik (belső) kérést az egyik a másik kérést a squid a másik ADSL-re rakja.
Ha jól láttam ezt statikusan meg tudja csinálni, de dinamikusan nem.
Jól láttam ?

Vagy marad ez a módszer:
http://linux.com.lb/wiki/index.pl?node=Load%20Balancing%20Across%20Multiple%20Links
Valakinek tapasztalata a fenti megoldással kapcsolatban?

Üdv
kagy