* [Comm] Squid auth
@ 2003-10-28 8:18 Shawkat Nizamov
2003-10-29 3:08 ` Shawkat Nizamov
0 siblings, 1 reply; 8+ messages in thread
From: Shawkat Nizamov @ 2003-10-28 8:18 UTC (permalink / raw)
To: community
Кто-нибудь организовывал SQUID с аутентификацией пользователя ?
Существующие в инете доки ориентированы не на TCB.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] Squid auth
2003-10-28 8:18 [Comm] Squid auth Shawkat Nizamov
@ 2003-10-29 3:08 ` Shawkat Nizamov
2003-10-29 6:44 ` Dmitriy Shcherbakov
0 siblings, 1 reply; 8+ messages in thread
From: Shawkat Nizamov @ 2003-10-29 3:08 UTC (permalink / raw)
To: community
> Кто-нибудь организовывал SQUID с аутентификацией пользователя ?
>
> Существующие в инете доки ориентированы не на TCB.
Сделал таки по pam. Натолкнулся на пару неприятных моментов.
Кому надо - могу написать.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] Squid auth
2003-10-29 3:08 ` Shawkat Nizamov
@ 2003-10-29 6:44 ` Dmitriy Shcherbakov
2003-10-29 7:46 ` Shawkat Nizamov
0 siblings, 1 reply; 8+ messages in thread
From: Dmitriy Shcherbakov @ 2003-10-29 6:44 UTC (permalink / raw)
To: community
Shawkat Nizamov пишет:
>>Кто-нибудь организовывал SQUID с аутентификацией пользователя ?
>>
>>Существующие в инете доки ориентированы не на TCB.
>>
>>
>
>Сделал таки по pam. Натолкнулся на пару неприятных моментов.
>Кому надо - могу написать.
>
>
Пишите! Лично мне - интересно.
С уважением, Дмитрий
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] Squid auth
2003-10-29 6:44 ` Dmitriy Shcherbakov
@ 2003-10-29 7:46 ` Shawkat Nizamov
2003-10-29 8:13 ` Alexey I. Froloff
2003-10-30 14:24 ` [Comm] " Borovoy M.
0 siblings, 2 replies; 8+ messages in thread
From: Shawkat Nizamov @ 2003-10-29 7:46 UTC (permalink / raw)
To: community
>
> Пишите! Лично мне - интересно.
>
Ну в общем потребовалось авторизовать пользователей на сквиде.
Пользователи системные. Для этого лучше всего использовать pam_auth.
ncsa_auth - не годится - он по /etc/shadow работает - а он у нас пустой ;-)
(Если делать по ncsa_auth, то ему можно подсунуть файл паролей, который в свою
очередь легко генерируется htpasswd из состава апача.)
Первый трабл - pam_auth должен быть suid. Иначе авторизация не пройдет.
Второй трабл - нету файла /etc/pam.d/squid
#%PAM-1.0
auth required /lib/security/pam_stack.so service=system-auth
account required /lib/security/pam_stack.so service=system-auth
Дальше идет все по накатанной - настройка сквида на авторизацию
auth_param basic program /usr/lib/squid/pam_auth
заведение пользователей -
acl users proxy_auth REQUIRED
и соответственно
http_access allow users
Еще можно сквид настроить чтоб один пользователь мог только с одного любого
компа в интернет выйти - но как это сделать - до меня еще не дошло %*)
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] Squid auth
2003-10-29 7:46 ` Shawkat Nizamov
@ 2003-10-29 8:13 ` Alexey I. Froloff
2003-10-29 8:23 ` Shawkat Nizamov
2003-11-01 13:14 ` [Comm] " Michael Shigorin
2003-10-30 14:24 ` [Comm] " Borovoy M.
1 sibling, 2 replies; 8+ messages in thread
From: Alexey I. Froloff @ 2003-10-29 8:13 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 652 bytes --]
* Shawkat Nizamov <shawkat@samitc.uzsci.net> [031029 10:49]:
> Первый трабл - pam_auth должен быть suid. Иначе авторизация не пройдет.
А не sgid auth?
> Второй трабл - нету файла /etc/pam.d/squid
> #%PAM-1.0
> auth required /lib/security/pam_stack.so service=system-auth
> account required /lib/security/pam_stack.so service=system-auth
auth required pam_userpass.so
auth include system-auth-use_first_pass
account include system-auth
По моему так...
--
Regards, Sir Raorn.
-------------------
Иначе будет как всегда - кто-то один сделает -> все согласятся и окажется
криво ;-(
-- rider in devel@
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] Squid auth
2003-10-29 8:13 ` Alexey I. Froloff
@ 2003-10-29 8:23 ` Shawkat Nizamov
2003-11-01 13:14 ` [Comm] " Michael Shigorin
1 sibling, 0 replies; 8+ messages in thread
From: Shawkat Nizamov @ 2003-10-29 8:23 UTC (permalink / raw)
To: community
>
> По моему так...
Вполне возможно что и по-Вашему варианту.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Comm] Squid auth
2003-10-29 7:46 ` Shawkat Nizamov
2003-10-29 8:13 ` Alexey I. Froloff
@ 2003-10-30 14:24 ` Borovoy M.
1 sibling, 0 replies; 8+ messages in thread
From: Borovoy M. @ 2003-10-30 14:24 UTC (permalink / raw)
To: community
Shawkat Nizamov пишет:
>>Пишите! Лично мне - интересно.
>>
>
>
> Ну в общем потребовалось авторизовать пользователей на сквиде.
> Пользователи системные. Для этого лучше всего использовать pam_auth.
> ncsa_auth - не годится - он по /etc/shadow работает - а он у нас пустой ;-)
>
> (Если делать по ncsa_auth, то ему можно подсунуть файл паролей, который в свою
> очередь легко генерируется htpasswd из состава апача.)
>
> Первый трабл - pam_auth должен быть suid. Иначе авторизация не пройдет.
>
> Второй трабл - нету файла /etc/pam.d/squid
>
> #%PAM-1.0
> auth required /lib/security/pam_stack.so service=system-auth
> account required /lib/security/pam_stack.so service=system-auth
>
> Дальше идет все по накатанной - настройка сквида на авторизацию
>
> auth_param basic program /usr/lib/squid/pam_auth
>
> заведение пользователей -
>
> acl users proxy_auth REQUIRED
>
> и соответственно
>
> http_access allow users
>
> Еще можно сквид настроить чтоб один пользователь мог только с одного любого
> компа в интернет выйти - но как это сделать - до меня еще не дошло %*)
Попробуй прописать в /etc/pam.d/squid строку
session required pam_limits.so
и в /etc/security/limits.conf file строку
@squidusers - maxlogins 1
где squidusers - группа, в которую включены пользователи squid.
--
С уважением, Боровой Михаил
^ permalink raw reply [flat|nested] 8+ messages in thread
* [Comm] Re: Squid auth
2003-10-29 8:13 ` Alexey I. Froloff
2003-10-29 8:23 ` Shawkat Nizamov
@ 2003-11-01 13:14 ` Michael Shigorin
1 sibling, 0 replies; 8+ messages in thread
From: Michael Shigorin @ 2003-11-01 13:14 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 667 bytes --]
On Wed, Oct 29, 2003 at 11:13:34AM +0300, Alexey I. Froloff wrote:
> > Первый трабл - pam_auth должен быть suid. Иначе авторизация не пройдет.
> А не sgid auth?
> > Второй трабл - нету файла /etc/pam.d/squid
> > #%PAM-1.0
> > auth required /lib/security/pam_stack.so service=system-auth
> > account required /lib/security/pam_stack.so service=system-auth
> auth required pam_userpass.so
> auth include system-auth-use_first_pass
> account include system-auth
> По моему так...
Народ -- а на atmsk и в bugzilla слабО? :-)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2003-11-01 13:14 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-10-28 8:18 [Comm] Squid auth Shawkat Nizamov
2003-10-29 3:08 ` Shawkat Nizamov
2003-10-29 6:44 ` Dmitriy Shcherbakov
2003-10-29 7:46 ` Shawkat Nizamov
2003-10-29 8:13 ` Alexey I. Froloff
2003-10-29 8:23 ` Shawkat Nizamov
2003-11-01 13:14 ` [Comm] " Michael Shigorin
2003-10-30 14:24 ` [Comm] " Borovoy M.
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git