0

そのため、squid に統合しようとしている Active Directory グループが複数あります。にある URL リストを分類しました

"/etc/squid/blacklists/"

ユーザーを特定のグループに追加すると、squid でそのユーザーがそのリスト内の任意の Web サイトを閲覧できるようになります。各ユーザーは、役割に応じて複数のグループのメンバーになります。現在、私が持っているものは、グループの1つだけのメンバーがいる限り、ユーザーがWebサイトを閲覧できるようにしますが、ユーザーを両方のグループに追加すると、何も表示されなくなります! 合計で、実装したい約 50 のカテゴリがあります。以下は、現在 squid.conf ファイルにリストされているものです。

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
# AD communication #
auth_param basic program /usr/lib64/squid/squid_ldap_auth -R -b "DC=domain,DC=local" -D "CN=SQUID,OU=domain Service Accounts,DC=domain,DC=local" -w "*********" -f sAMAccountName=%s -h 10.0.0.***,10.0.0.***,10.0.0.***
auth_param basic children 5
auth_param basic realm Please enter your domain credentials to continue
auth_param basic credentialsttl 1 hour

# AD group membership commands
external_acl_type ldap_group %LOGIN /usr/lib64/squid/squid_ldap_group -R -b "DC=domain,DC=local" -D "CN=SQUID,OU=domain Service Accounts,DC=domain,DC=local" -w "*********" -f "(&(objectclass=person) (sAMAccountname=%v)(memberof=CN=%a,OU=PROXY,ou=ALL domain Groups,DC=domain,DC=local))" -h 10.0.0.***,10.0.0.***,10.0.0.***

acl NEWS external ldap_group NEWS
acl SHOPPING external ldap_group SHOPPING


acl rule1 url_regex -i "/etc/squid/blacklists/news/domains"
acl rule2 url_regex -i "/etc/squid/blacklists/shopping/domains"

http_access deny NEWS !rule1
http_access deny SHOPPING !rule2
http_access allow all
4

1 に答える 1

0

Squid は、最初の一致でルールの処理を停止します。アカウントを両方のグループに追加すると、ユーザーがこれらのカテゴリのいずれかから Web サイトにアクセスしようとすると、常に「拒否」ACL のいずれかと一致します。

代わりに、「許可」ルールを使用できます。

http_access allow NEWS rule1
http_access allow SHOPPING rule2
http_access deny all

この場合、一致したものはすべて許可され、一致しなかったものはすべて拒否されます。

読みやすくするために、ACL の名前を変更できます。

http_access allow group-NEWS url_regex-news
http_access allow group-SHOPPING url_regex-shopping
http_access deny all
于 2015-01-19T13:09:32.110 に答える