From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <417F46D3.3030305@syktsu.ru> Date: Wed, 27 Oct 2004 10:57:23 +0400 From: Vladimir Lettiev User-Agent: Mozilla Thunderbird 0.6 (X11/20040511) X-Accept-Language: en-us, en MIME-Version: 1.0 To: ALT Linux Sisyphus discussion list Subject: Re: [sisyphus] =?KOI8-R?Q?=D0=CF=C4=D3=DE=C5=D4_=D4=D2=C1=C6=C6?= =?KOI8-R?Q?=C9=CB=C1_squid?= References: <417E214D.9000408@iop.kiev.ua> <200410270955.49551.combr@vesna.ru> <417F3322.2030902@syktsu.ru> <200410271120.27418.combr@vesna.ru> In-Reply-To: <200410271120.27418.combr@vesna.ru> X-Enigmail-Version: 0.84.0.0 X-Enigmail-Supports: pgp-inline, pgp-mime Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: ALT Linux Sisyphus discussion list List-Id: ALT Linux Sisyphus discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 27 Oct 2004 06:55:43 -0000 Archived-At: List-Archive: Mike Lykov wrote: > В сообщении от Среда 27 Октябрь 2004 10:33 Vladimir Lettiev написал: > >>У меня пока тоже, но через aa.patch к сквиду можно в реальном времени >>снимать состояние закачек и появляется возможность прерывать >>пользователя не по факту закачки, а во время неё. > > Лишний патч плох тем, что придется его вкрячивать в каждую новую версию > (вероятно, и с трудом). А этот патч включён в сборке squid для Sisyphus: ----------------------------------------------------------------------- 23 июля 2004 Konstantin Timoshenko 2.5.STABLE6-alt1 * 2.5.STABLE6 * Official bugfixes from www.squid-cache.org. * add patch-aa.patch: makes squid write info in access.log by pieces as far as the receipt of data but not after downloading whole file. See -x options. ----------------------------------------------------------------------- >>Ответ простой - использовать LDAP. Несложный helper для сквида (пример >>которого был в аттачменте письма от Епифанова Сергея) проверяет >>состояние аккаунта в LDAP и запрещает доступ, когда это необходимо. > > А если учесть, что у меня уже работает ntlm_auth (от самбы) ? оно по очереди > будут работать или одновременно? (если будут вместе вообще?) Тут надо вспонить знаменитое AAA. ntlm_auth - это аутентификация. acl (и данный helper) - авторизация, т.е. они не пересекаются и работают совместно (в том порядке, в котором они указанны в конфиге). >>Но конечно в этом случае использование squidGuard становится возможным >>только для фильтрации. Перенаправление на страничку по факту исчерпания >>лимита сделать будет нельзя (простым способом). > > И пользователи будут вместо "почему у меня доступ запрещен по такой-то > причине?" (на странице запрещения все по русски, да еще с советами) будут > спрашивать "ой, а почему у меня какая-то фигня пишется непонятноая и ничего > не работает"... когда пользователей много (сотни две-три, или больше) - это > может напрягать ;) Да есть такая фишка :( Но я ж говорю, выход ищется. Скорее всего через deny_info, там можно всё разрулить. >>т.к. сам факт работы системы на пониженых привилегиях и отсутствие постоянных >>reconfigure даёт значительно бОльший выигрыш. > > squid, squidguard и хелперы все работают на пониженных привилегиях - от узера > squid итак.. ;) А изменения в доступах случаются не так уж часто, чтобы > замечать какой-то ущерб от reconfigure - пару раз в день у меня в > среднем.. ;) А у меня 'squid -k reconfigure' исполнялся раз сто на дню: лаборанты включали/выключали интернет в классах через веб-морду... Вобщем избавившись от root suid-скриптов я вздохнул с облегчением. -- С уважением, Владимир Леттиев aka crux