[Comm] Squid авторизация

[Comm] Squid авторизация

[Maxim Ivanov]

[-- Attachment #1: Type: text/plain, Size: 386 bytes --]

Народ!
Киньте пожалуйста в меня squid.conf с авторизацией.
У кого как настроено. Я не понимаю, почему он не спрашивает у меня
пароля на вход, но уверенно запрещает доступ к кешу.

Может, кто возмьется посмотреть, где же я напортачил (конфиг прилагаю).
Почему же он не спрашивает пароля? Файл с юзерами и паролями создал
htpasswd, он есть, его можно прочитать...

Помогите пожалуйста!!!!

[-- Attachment #2: squid.conf --]
[-- Type: application/octet-stream, Size: 6846 bytes --]

Re: [Comm] Squid авторизация

[Sergey A. Kolesnitchenko]

Привет.
На мой взгляд нехватает файла паролей после пути к программе
авторизации. У меня это так
auth_param basic program /opt/squid/bin/ncsa_auth
/opt/squid/etc/passwd
Потом нигде не уведел правила для самой авторизации. Т.е. как минимум
должны быть строки
acl users proxy_auth
http_access allow users
Можно разрешить только для определенныю пользователей, тогда в конце
надо добавить их перечисление.
С уважением,
Сергей
MI> Народ!
MI> Киньте пожалуйста в меня squid.conf с авторизацией.
MI> У кого как настроено. Я не понимаю, почему он не спрашивает у меня
MI> пароля на вход, но уверенно запрещает доступ к кешу.

MI> Может, кто возмьется посмотреть, где же я напортачил (конфиг прилагаю).
MI> Почему же он не спрашивает пароля? Файл с юзерами и паролями создал
MI> htpasswd, он есть, его можно прочитать...

MI> Помогите пожалуйста!!!!

Re: [Comm] Squid авторизация

[Maxim Ivanov]

On Thu, 11 Sep 2003 12:52:04 +0400
"Sergey A. Kolesnitchenko" <sergey.ak@mtu-net.ru> wrote:

> Привет.
> На мой взгляд нехватает файла паролей после пути к программе
> авторизации. У меня это так
> auth_param basic program /opt/squid/bin/ncsa_auth
> /opt/squid/etc/passwd
> Потом нигде не уведел правила для самой авторизации. Т.е. как минимум
> должны быть строки
> acl users proxy_auth
> http_access allow users
> Можно разрешить только для определенныю пользователей, тогда в конце
> надо добавить их перечисление.
> С уважением,
> Сергей
>

Спасибо большое!
Теперь всех везде пускает, но пароля по прежнему не спрашивает.
Конфигурация теперь имеет такой вид:

http_port 3128

#не хотитим кэшировать запросы к поисковым машинам и т.д.
hierarchy_stoplist cgi-bin ?

cache_mem  16 MB

cache_swap_low  90
cache_swap_high 95

#maximum_object_size 4096 KB

ipcache_size 1024
ipcache_low  90
ipcache_high 95

#Имеем кэш размером 100мегабайт, организованный в 16 каталогов по 256
#подкаталогов в каждом
cache_dir ufs /var/spool/squid 100 16 256 

#Куда писать логи доступа
cache_access_log /var/log/squid/access.log

#логи кэширования
cache_log /var/log/squid/cache.log

#и хранения
cache_store_log /var/log/squid/store.log


#Создавать access.log полного формата

mime_table /etc/squid/mime.conf

#Что  будем kill'ять?
pid_filename /var/run/squid.pid

ftp_user Squid@host.domain.ru
ftp_list_width 32



# ACCESS CONTROLS - НАСТРОЙКА ДОСТУПА

# все клиенты
acl all src 0.0.0.0/0.0.0.0
#все сервера в интернете
acl inet dst 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl CONNECT method CONNECT


#Объясняем юзерам, что за пароль от них требует браузер.
#Включим запрос-проверку имени пользователя
acl users proxy_auth
auth_param basic program /usr/lib/squid/ncsa_auth /usr/etc/pasword
auth_param basic credentialsttl 8 hour
auth_param basic realm AMOS proxyServer
positive_dns_ttl 6 hour
connect_timeout 20 second
read_timeout 15 minute
request_timeout 30 second
client_lifetime 1 hour

auth_param digest program /usr/lib/squid/digest_pw_auth
auth_param digest realm AMOS proxyServer Digest
auth_param ntlm program /usr/lib/squid/ntlm_auth
cache_mgr ivanov@amos.ru

http_access allow all
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports
http_access deny inet
http_access deny all
icp_access allow all


logfile_rotate 10

error_directory /usr/share/squid/errors/Russian-1251

coredump_dir /usr/local/squid
ident_lookup_access allow all inet CONNECT
debug_options ALL,7
httpd_accel_with_proxy off
httpd_accel_uses_host_header off
httpd_accel_single_host off


Что же ему не нравится???

Re: [Comm] Squid авторизация

[Eugene Ostapets]

Maxim Ivanov пишет:

>Народ!
>Киньте пожалуйста в меня squid.conf с авторизацией.
>У кого как настроено. Я не понимаю, почему он не спрашивает у меня
>пароля на вход, но уверенно запрещает доступ к кешу.
>
>Может, кто возмьется посмотреть, где же я напортачил (конфиг прилагаю).
>Почему же он не спрашивает пароля? Файл с юзерами и паролями создал
>htpasswd, он есть, его можно прочитать...
>
>Помогите пожалуйста!!!!
>
А где сказано что он должен спрашивать? В конфиге сказано только что 
всем запрещено ходить через этот сквид... Посмотрите на opennet.ru - там 
много примеров и разъяснений.

-- 
С уважением,
Евгений Остапец
+380 44 459 28 79
http://www.unisoft.com.ua

Re: [Comm] Squid авторизация

[Eugene Ostapets]

Maxim Ivanov пишет:

>On Thu, 11 Sep 2003 12:52:04 +0400
>"Sergey A. Kolesnitchenko" <sergey.ak@mtu-net.ru> wrote:
>  
>
>Спасибо большое!
>Теперь всех везде пускает, но пароля по прежнему не спрашивает.
>Конфигурация теперь имеет такой вид:
>
>
># ACCESS CONTROLS - НАСТРОЙКА ДОСТУПА
>
>#Объясняем юзерам, что за пароль от них требует браузер.
>#Включим запрос-проверку имени пользователя
>acl users proxy_auth
>  
>
acl users proxy_auth REQUIRED

>http_access allow all
>
эту строку прибить
http_access allow users

>http_access allow manager localhost
>http_access deny manager
>http_access deny !Safe_ports
>
>http_access deny CONNECT !SSL_ports
>http_access deny inet
>http_access deny all
>icp_access allow all
>
>Что же ему не нравится???
>  
>

-- 
С уважением,
Евгений Остапец
+380 44 459 28 79
http://www.unisoft.com.ua

Re: [Comm] Squid авторизация

[Maxim Ivanov]

On Thu, 11 Sep 2003 12:24:00 +0300
Eugene Ostapets <eugene@unisoft.com.ua> wrote:


> >
> acl users proxy_auth REQUIRED
> 
> >http_access allow all
> >
> эту строку прибить
> http_access allow users
> 

Народ!! Чуствую: чучть-чуть осталось... Спасайте!!
Все сделал как Вы писали, теперь полный АБЗАЦ - никуда не пускает,
говорит, доступ закрыт.

Конфиг принял такой вид:

http_port 3128

#не хотитим кэшировать запросы к поисковым машинам и т.д.
hierarchy_stoplist cgi-bin ?
cache_mem  16 MB
cache_swap_low  90
cache_swap_high 95
#maximum_object_size 4096 KB
ipcache_size 1024
ipcache_low  90
ipcache_high 95

#Имеем кэш размером 100мегабайт, организованный в 16 каталогов по 256
#подкаталогов в каждом
cache_dir ufs /var/spool/squid 100 16 256 

#Куда писать логи доступа
cache_access_log /var/log/squid/access.log

#логи кэширования
cache_log /var/log/squid/cache.log

#и хранения
cache_store_log /var/log/squid/store.log


#Создавать access.log полного формата
mime_table /etc/squid/mime.conf

#Что  будем kill'ять?
pid_filename /var/run/squid.pid

ftp_user Squid@host.domain.ru
ftp_list_width 32



# ACCESS CONTROLS - НАСТРОЙКА ДОСТУПА

# все клиенты
acl all src 0.0.0.0/0.0.0.0

#все сервера в интернете
acl inet dst 0.0.0.0/0.0.0.0

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl CONNECT method CONNECT
ident_lookup_access allow all inet CONNECT

#Объясняем юзерам, что за пароль от них требует браузер.
#Включим запрос-проверку имени пользователя

acl users proxy_auth REQUIRED

auth_param basic program /usr/lib/squid/ncsa_auth /usr/etc/pasword
auth_param basic credentialsttl 8 hour
auth_param basic realm AMOS proxyServer

positive_dns_ttl 6 hour
connect_timeout 20 second
read_timeout 15 minute
request_timeout 30 second
client_lifetime 1 hour

cache_mgr ivanov@amos.ru
#http_access allow all

http_access allow users

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports
http_access deny inet
http_access deny all
icp_access allow all


logfile_rotate 10

error_directory /usr/share/squid/errors/Russian-1251

coredump_dir /usr/local/squid
debug_options ALL,7
httpd_accel_with_proxy off
httpd_accel_uses_host_header off
httpd_accel_single_host off


Где же  него КНОПКА ????????

Re: [Comm] Squid авторизация

[Maxim Ivanov]

On Thu, 11 Sep 2003 12:24:00 +0300
Eugene Ostapets <eugene@unisoft.com.ua> wrote:

И еще:
Он пишет следующее:
aclParseAclLine: IGNORING: Proxy Auth ACL 'aclusers proxy_auth REQUIRED'
 because no authentication schemes are fully configured. 
aclParseAclLine: IGNORING invalid ACL:
acl users proxy_auth REQUIRED 
squid.conf line 143:
http_access allow users 
aclParseAccessLine: ACLname 'users' not found. 
squid.conf line 143:
http_access allow users aclParseAccessLine: 
Access line contains no ACL's, skipping

Сдается мне, тут что-то совсем плохо ему..


> >
> acl users proxy_auth REQUIRED
> 
> >http_access allow all
> >
> эту строку прибить
> http_access allow users
> 
> >http_access allow manager localhost
> >http_access deny manager
> >http_access deny !Safe_ports
> >
> >http_access deny CONNECT !SSL_ports
> >http_access deny inet
> >http_access deny all
> >icp_access allow all
> >
> >Что же ему не нравится???
> >  
> >
> 
> -- 
> С уважением,
> Евгений Остапец
> +380 44 459 28 79
> http://www.unisoft.com.ua
> 
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community
> 
> 
> 

Re[2]: [Comm] Squid авторизация

[Sergey A. Kolesnitchenko]

MI> On Thu, 11 Sep 2003 12:24:00 +0300
MI> Eugene Ostapets <eugene@unisoft.com.ua> wrote:

MI> И еще:
MI> Он пишет следующее:
MI> aclParseAclLine: IGNORING: Proxy Auth ACL 'aclusers proxy_auth REQUIRED'
Это строку после объявления программы авторизации попробуйте вставьте.
Т.е. после последней auth_param
Сергей

Re: Re[2]: [Comm] Squid авторизация

[Maxim Ivanov]

On Thu, 11 Sep 2003 14:39:50 +0400
"Sergey A. Kolesnitchenko" <sergey.ak@mtu-net.ru> wrote:

> MI> On Thu, 11 Sep 2003 12:24:00 +0300
> MI> Eugene Ostapets <eugene@unisoft.com.ua> wrote:
> 
> MI> И еще:
> MI> Он пишет следующее:
> MI> aclParseAclLine: IGNORING: Proxy Auth ACL 'aclusers proxy_auth
> MI> REQUIRED'
> Это строку после объявления программы авторизации попробуйте вставьте.
> Т.е. после последней auth_param

А тогда она говорит, что
parseConfigFile: line 132 unrecognized: 'aclusers proxy_auth REQUIRED

Re[4]: [Comm] Squid авторизация

[Sergey A. Kolesnitchenko]

MI> On Thu, 11 Sep 2003 14:39:50 +0400
MI> "Sergey A. Kolesnitchenko" <sergey.ak@mtu-net.ru> wrote:

>> MI> On Thu, 11 Sep 2003 12:24:00 +0300
>> MI> Eugene Ostapets <eugene@unisoft.com.ua> wrote:
>> 
>> MI> И еще:
>> MI> Он пишет следующее:
>> MI> aclParseAclLine: IGNORING: Proxy Auth ACL 'aclusers proxy_auth
>> MI> REQUIRED'
>> Это строку после объявления программы авторизации попробуйте вставьте.
>> Т.е. после последней auth_param

MI> А тогда она говорит, что
MI> parseConfigFile: line 132 unrecognized: 'aclusers proxy_auth REQUIRED
Пробел стоит между acl и  users?

Re: [Comm] Squid авторизация

[Evgeniy Kobzev]

Maxim Ivanov пишет:

> On Thu, 11 Sep 2003 12:24:00 +0300
> Eugene Ostapets <eugene@unisoft.com.ua> wrote:
> 
> И еще:
> Он пишет следующее:
> aclParseAclLine: IGNORING: Proxy Auth ACL 'aclusers proxy_auth REQUIRED'

между acl и users пропущен пробел

>  because no authentication schemes are fully configured. 
> aclParseAclLine: IGNORING invalid ACL:
> acl users proxy_auth REQUIRED 
> squid.conf line 143:
> http_access allow users 
> aclParseAccessLine: ACLname 'users' not found. 

acl с именем users не найден

> squid.conf line 143:
> http_access allow users aclParseAccessLine: 
> Access line contains no ACL's, skipping
> 
> Сдается мне, тут что-то совсем плохо ему..

:)