Transparentni proxy SQUID + autentizace
Milan Sorm
sorm na pef.mendelu.cz
Pondělí Září 2 19:22:07 CEST 2002
Mon, Sep 02, 2002 ve 07:57:51AM +0200 Veros Kaplan napsal(a):
# Tomas Valousek wrote/napsal:
# : Dobry den,
# : je mozne nejakym zpusobem "ukecat" Squid, aby vyzadoval autentizaci i
# : pri pristupu pres transparentni proxy, tedy nezavisle na nastaveni na
# : klientovi? Bohuzel jsem se ve vsech dokumentech docetl, ze to mozne neni,
# : presto doufam, ze nejake reseni muze existovat ;-)
#
# Já bych té dokumentaci věřil :-)
#
# Uvědomte si, že když je squid transparentní, tak tam (z pohledu
# klienta) žádná cache není. A jak se chudák klient má autentizovat proti
# něčemu, co tam není? Ztrácíte tím výhodu transparentní cache, že
# cacheuje, aniž by o ní někdo věděl.
#
# Potkal jsem cache od Symantecu, která umí taky jet v transparentním
# režimu a autentizovat se tam dá, ale je to řešení principiálně jinak.
# Pokud si to chcete dodělat do squidu, tak vám nikdo nebrání.
# 1) při prvním přístupu na url_za_cache se provede redirect na stránku
# http://cache.host/login?target=url_za_cache
# 2) na této stránce je klasický login screen, kde se uživatel přihlásí
# 3) pokud se autentizace povede, tak se skočí na url_za_cache (a cache
# si pamatuje, že tato IP patří k tomuto počítači) jinak zobrazí stránku
# o nepovoleném přístupu.
#
# Pokud jste schopen si toto sprogramovat, tak budete děsně slavnej, ale
# jinak bych to neřešil a donutil uživatele nastavit si proxy-cache. Když
# k tomu přidáte pár pravidel na paketovém filtru, tak jste vyhrál.
#
no a co nastavit squid aby vyzadoval byt autentizovan proti
radiusu/kaerberovi/tacacs/windows dc/ldap ? a pak pokud uzivatel je
autentizovan/prihlasen do site, muze cache pouzivat... takhle jsme to napr.
nastavovali na cisco pix...
--milan
Další informace o konferenci Linux