From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <417F3322.2030902@syktsu.ru> Date: Wed, 27 Oct 2004 05:33:22 +0000 From: Vladimir Lettiev User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.7.2) Gecko/20040808 X-Accept-Language: ru-ru, ru MIME-Version: 1.0 To: ALT Linux Sisyphus discussion list Subject: Re: [sisyphus] =?KOI8-R?Q?=D0=CF=C4=D3=DE=C5=D4_=D4=D2=C1=C6=C6?= =?KOI8-R?Q?=C9=CB=C1_squid?= References: <417E214D.9000408@iop.kiev.ua> <200410261918.15921.serpiph@nikiet.ru> <417E8F05.8070101@syktsu.ru> <200410270955.49551.combr@vesna.ru> In-Reply-To: <200410270955.49551.combr@vesna.ru> X-Enigmail-Version: 0.85.0.0 X-Enigmail-Supports: pgp-inline, pgp-mime Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: ALT Linux Sisyphus discussion list List-Id: ALT Linux Sisyphus discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 27 Oct 2004 05:33:11 -0000 Archived-At: List-Archive: Mike Lykov пишет: > В сообщении от Вторник 26 Октябрь 2004 22:53 Vladimir Lettiev написал: >>Я озадачился точно такой же задачей, > > Я ей тоже озадачен %) :) Получается действительно необходимо готовое универсальное решение данной задачи. >>как раз дошёл до необходимости >>написания fifo-ридера, а тут готовая реализация. Спасибо. > > У меня пока все только по access.log. У меня пока тоже, но через aa.patch к сквиду можно в реальном времени снимать состояние закачек и появляется возможность прерывать пользователя не по факту закачки, а во время неё. >>* во-первых я думаю надо стремиться сделать такую реализацию демонов, >>которая не требовала бы привелегий root'а >>* полностью отказаться от перезагрузки/переконфигурации сервера > > Но вот интересно, как без этого обойтись? У меня стоит squidguard, с помошью > которого я регулирую имена пользователей разных категорий. > Он же делает перенаправление на местный апач, где разным категориям (кончился > лимит/нет лимита) показывает разную страницу с обьяснением. > > Но вот переконфигурировать его можно только заставив squid перечитать > конфигурацию, squid -k reconfigure (service squid reload). > > Вы знаете, как заставить его перечитать конфигурацию не от рута? Или обойтись > без этого вообще? как? Ответ простой - использовать LDAP. Несложный helper для сквида (пример которого был в аттачменте письма от Епифанова Сергея) проверяет состояние аккаунта в LDAP и запрещает доступ, когда это необходимо. Сам helper работает с привелегиями squid. При появлении изменений в доступе пользователей перезапуск сервиса squid не требуется. Но конечно в этом случае использование squidGuard становится возможным только для фильтрации. Перенаправление на страничку по факту исчерпания лимита сделать будет нельзя (простым способом). Над решением этой проблемы я как раз и работаю, но серьёзной её не считаю, т.к. сам факт работы системы на пониженых привилегиях и отсутствие постоянных reconfigure даёт значительно бОльший выигрыш. >>* ввести дополнительно поддержку mysql > > у меня все в berkeley db ;) (не требует установки СУБД каких-то > дополнительно ;) тоже вариант, но он локальный, а система может быть распределёной: apache и СУБД на разных хостах. Как на страничках веб-сервера тогда писать статистику по трафику? >>* использовать модуль perl-LDAP, вместо напрягания ldapsearch > > у меня использует Net::LDAP для получения данных из win2000 active directory > (имена пользователей) Это собственно одно и тоже, просто я назвал имя пакета. >>Когда приведу в порядок свои наработки также выложу где-нить на общий >>доступ. > > У меня тоже все в состоянии "работает для меня.." ;) Неплохо бы сделать "работает для всех" Ж) -- С уважением, Владимир Леттиев aka crux