Sunday, October 28, 2007

squid 安裝 - Squid.conf ACL 權限控制

這部分主要提供一個比較實務上可以運作的管控的範例
由於公司電腦是由 Windows AD 所管控,所以 Proxy 也將與 AD 結合。
AD 上建一個上網的群組,如 WebAccess,凡是有上網權限的使用者,必須是該群組成員。
上網的使用者必須 1. 電腦登入網域 2. 具有上網權限(即是 WebAccess 成員)


## NTLM 認證部份
# 若認證過慢 請增加 children 後的數字

# NT challenge Authentication for IE
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 10 minutes
auth_param ntlm use_ntlm_negotiate on

# Plain Text Authentication for others
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 30
auth_param basic realm ABC Corp Proxy Server Login
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

external_acl_type NT_global_group ttl=300 children=25 %LOGIN /usr/lib/squid/wbinfo_group.pl

# acl : Access Control List 自訂項目
#
acl PASSWORD proxy_auth REQUIRED
acl GrpWebAccess external NT_global_group "/etc/squid/usergroup.acl"
deny_info ERR_NO_WEBACCESS_RIGHT GrpWebAccess

# Default:
#redirect_children 5
redirect_children 20

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 21 80 443 8080
acl connect method CONNECT

No comments:

Post a Comment