Я успешно настроил сервер Squid, аутентифицирующийся на kerberos / ntlm / ldap, на сервер samba4, и все они работают нормально (это такая красивая вещь !!!: D)
Сейчас я начинаю создавать свои списки ACL и хочу, чтобы одна конкретная группа пользователей имела неограниченный доступ.
Дело в том, что когда я добавляю своего пользователя в группу AD Internet Irrestrito и открываю свой браузер, он работает, я удаляю своего пользователя из группы, и он по-прежнему может получить доступ к Интернету, если я выполняю перенастройку squid -k и перезагружаю веб-сайт или повторно открыть браузер, то он отказывает мне в доступе, как и должно было быть раньше.
Учитывая, что я не могу просто перезагружать squid каждый раз, когда меняю группу пользователей, что мне нужно сделать, чтобы squid распознавал изменения в группах пользователей, не перезагружая их?
Я изменил ttl в ldap auth на действительно низкий параметр (сейчас он установлен на 5 часов), и происходит такая же ситуация. Кроме того, на старом ящике squid, который у них здесь, в компании, есть тот же ttl на 5 часов, и как только мы меняем пользователя с этого старого сетевого сервера ldap, пользователю нужно только перезапустить свой браузер, и все готово!
Вот мой squid.conf
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow localhost manager
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
auth_param negotiate program /usr/local/squid/libexec/negotiate_wrapper -d --ntlm /usr/local/squid/libexec/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp -- domain=testserver.LAN --kerberos /usr/local/squid/libexec/negotiate_kerberos_auth -d -s HTTP/servidor-005.testserver.lan@testserver.LAN
auth_param negotiate children 10
auth_param negotiate keep_alive off
auth_param ntlm program /usr/local/squid/libexec/ntlm_auth --diagnostics --helper- protocol=squid-2.5-ntlmssp --domain=testserver.LAN
auth_param ntlm children 10
auth_param ntlm keep_alive off
auth_param basic program /usr/local/squid/libexec/basic_ldap_auth -d -R -b "dc=testserver,dc=lan" -D squid@testserver.lan -W /usr/local/squid/etc/ldappass -f sAMAccountName=%s -h servidor-001.testserver.lan
auth_param basic children 5
auth_param basic credentialsttl 5 hours
auth_param basic realm testserver Proxy Server
external_acl_type internet_irrestrito %LOGIN /usr/local/squid/libexec/ext_ldap_group_acl -R -K -b "cn=Users,dc=testserver,dc=lan" -D squid@testserver.lan -W /usr/local/squid/etc/ldappass -f "(&(objectclass=person)(sAMAccountName=%u) (memberof=cn=Internet Irrestrito,cn=Users,dc=testserver,dc=lan))" -h servidor- 001.testserver.lan
acl auth proxy_auth REQUIRED
acl Irrestrito external internet_irrestrito Internet\ Irrestrito
http_access allow Irrestrito auth
http_access deny !auth
http_access allow localhost
http_access deny all
http_port 3128
cache_mgr ti@testserver.com.br
access_log /usr/local/squid/var/logs/access.log squid
coredump_dir /usr/local/squid/var/cache/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
Любые идеи приветствуются, последние два дня у меня не было успеха в поиске в Интернете :(