Transparentni proxy SQUID + autentizace

[Milan Sorm]

Mon, Sep 02, 2002 ve 07:57:51AM +0200 Veros Kaplan napsal(a):
# Tomas Valousek wrote/napsal:
# : Dobry den,
# : je mozne nejakym zpusobem "ukecat" Squid, aby vyzadoval autentizaci i 
# : pri pristupu pres transparentni proxy, tedy nezavisle na nastaveni na 
# : klientovi? Bohuzel jsem se ve vsech dokumentech docetl, ze to mozne neni, 
# : presto doufam, ze nejake reseni muze existovat ;-)
# 
#     Já bych té dokumentaci věřil :-)
# 
#     Uvědomte si, že když je squid transparentní, tak tam (z pohledu
# klienta) žádná cache není. A jak se chudák klient má autentizovat proti
# něčemu, co tam není?  Ztrácíte tím výhodu transparentní cache, že
# cacheuje, aniž by o ní někdo věděl.
# 
#     Potkal jsem cache od Symantecu, která umí taky jet v transparentním
# režimu a autentizovat se tam dá, ale je to řešení principiálně jinak.
# Pokud si to chcete dodělat do squidu, tak vám nikdo nebrání.
#    1) při prvním přístupu na url_za_cache se provede redirect na stránku
#          http://cache.host/login?target=url_za_cache
#    2) na této stránce je klasický login screen, kde se uživatel přihlásí
#    3) pokud se autentizace povede, tak se skočí na url_za_cache (a cache
#       si pamatuje, že tato IP patří k tomuto počítači) jinak zobrazí stránku
#       o nepovoleném přístupu.
# 
#   Pokud jste schopen si toto sprogramovat, tak budete děsně slavnej, ale
# jinak bych to neřešil a donutil uživatele nastavit si proxy-cache. Když
# k tomu přidáte pár pravidel na paketovém filtru, tak jste vyhrál.
# 

no a co nastavit squid aby vyzadoval byt autentizovan proti
radiusu/kaerberovi/tacacs/windows dc/ldap ? a pak pokud uzivatel je
autentizovan/prihlasen do site, muze cache pouzivat... takhle jsme to napr.
nastavovali na cisco pix...

--milan