Tom, Estou trabalhando nas sugestões que me enviou e pesquizando uma forma de instanciar 3 squid's na mesma maquina, estava pensando no que você disse e chequei a uma conclusão podemos fazer 1 pra rede adm (com a regra de prerouting e instanciado em um porta diefretes) e o mesmo para rede financeira. Os dois atravé da diretiva cache peer, encaminham as requizições para o squid "central" pra que esse faça o bloqueio.O que voce acha desse layout?
Att. Leandro On Sun, 20 Jan 2008 14:52:50 -0200, Antonio Lobato <[EMAIL PROTECTED]> wrote: > > é, talvez possa se estudar um método baseado no que vc propôs, mas em > vez de usar 3 maquinas poderia rodar os 3 proxys na mesma máquina: 2 > apenas para a autenticação e o terceiro para cache. Talvez de pra > implementar isso com 3 squids ou 1 squid e 2 proxys especificos para > isso.. > Mas de fato, a complexidade pode aumentar bastante, pelo menos enquanto > não tivermos um conhecimento aprofundado de como esses proxies permitem > esse trabalho integrado. > > Uma outra possibilidade: > substituir o smb_auth na linha auth_param por um autenticador dummy, ou > seja, que sempre vai responder com um 'OK'. Então, no início de suas > acls, chamar uma external_acl_type, que fará a triagem necessária e > chamará o smb_auth com os parametros definidos pela triagem, ou seja, > usara o AD finan ou AD adm. > > Voltando à alternativa que falei no primeiro email, verifique o arquivo > /usr/lib/squid/smb_auth.sh, note que na linha 51 ele define o "domain > controller ip address" dcip: > dcip=`$SAMBAPREFIX/bin/nmblookup $addropt "$PASSTHROUGH#1c" | awk > '/^[0-9.]+\..+ / { print $1 ; exit }'` > Bastaria comentar essa linha, então abaixo dela chamar o seu triagem..sh > (usando source): > source /usr/local/sbin/triagem.sh > esse script teria o seguinte esqueleto: > > ---------------------------------------- > #!/usr/bin/bash > > ... > ... código de triagem (define $user_domain baseado nas duas listas de > usuarios ADM[] e FINAN[])... > ... > > case $user_domain in > ADM) > dcip=<ip do AD adm> > ;; > FINAN) > dcip=<ip do AD finan> > ;; > esac > > ---------------------------------------- > > > > PS: sugiro enviar todos emails da conersa para a lista como CC, pois > provavelmente será util para outros no futuro. > > > > Tom Lobato > www.tinecon.com.br > > > Leandro Moreira escreveu: >> Tom, >> >> Pensei em outra alternativa, colcoar um squid somente para > autenticação >> >> em cara rede, e um squid central pararealizar os bloqueios, mas acho que >> >> essa estrutura fica muito complexa para administrar além do custo pois >> >> terei que adquiri mais dois servidores pra isso. Vou começar a > trabalhar >> >> agora nas modificações e sugestões que você me mandou. Assim que > tiver >> >> algum resultado posto na lista. Mais uma vez muito obrigado por sua >> >> atenção. >> > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > > !DSPAM:13,47937d2b254328233318786! -- Leandro Moreira Linux Networks e-mail: [EMAIL PROTECTED] Tel.: + 55(32) 9197-7909 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]