Ok, voy a probar
thk
On Sat, 30 Oct 2010 13:05:16 -0400, Frank Ernesto Morales Quiroga
<fr...@cdr.cu> wrote:
Carlos prueba estas opciones..
authenticate_cache_garbage_interval 1 hour
authenticate_ttl 1 hour
authenticate_ip_ttl 0 seconds
Carlos Sosa escribió:
Hola lista,
Mira tengo el siguiente problema con el Squid y la Autentificacion
de LDAP, la cosa es que todo funciona bien los usuarios navegan todos
sin problemas y demas usando sus usuarios con sus limitantes por
grupos y demas. La cosa es que cuando el usuarios trata de entrar a un
sitio o url que no tiene acceso, el proxy le pide de forma infinita
que se autentifique, hasta el usuario decide cancelar la solicitud y
entonces el proxy le da error de que no esta autentificado. Cuando yo
le tengo establecido un deny_info para los accesos denegados.
Aqui les doy una copia del conf del squid.
-- #################################################
# CONFIGURACION SQUID #
#################################################
# Puertos
http_port 3128
# Configuraciones Varias
error_directory /usr/share/squid3/errors/Spanish
visible_hostname proxy.ipichoh.rimed.cu
coredump_dir /var/spool/squid
# Cache Padre
# Internacional
cache_peer 200.55.134.5 parent 3128 0 default
#Nacional
cache_peer 200.55.190.210 parent 3128 0 default
#Peer Domain
cache_peer_domain 200.55.134.5 !.cu
cache_peer_domain 200.55.190.210 !.com !.org !.net !.es !.ar !.cz
# Configuración por Defecto
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
# Configuracion FTP
ftp_passive off
ftp_sanitycheck on
# Memoria Asignada al SQUID
cache_mem 512 MB
#CACHE
# Tamano maximo de objetos almacendos en Cache
maximum_object_size 25600 KB
maximum_object_size_in_memory 1024 KB
# Configuracion Cache
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
cache_dir ufs /var/spool/squid 3000 16 256
cache_access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr sopo...@ipichoh.rimed.cu
logfile_rotate 52
# Configuracion de Refresco de Cache
refresh_pattern -i \.iso$ 2880 80% 30240
refresh_pattern -i \.deb$ 2880 80% 30240
refresh_pattern -i \.tar.gz$ 2880 80% 30240
refresh_pattern -i \.gz$ 2880 80% 30240
refresh_pattern -i \.bz2$ 2880 80% 30240
refresh_pattern -i \.exe$ 2880 80% 30240
refresh_pattern -i \.jpg$ 2880 80% 30240
refresh_pattern -i \.jpeg$ 2880 80% 30240
refresh_pattern -i \.gif$ 2880 80% 30240
refresh_pattern -i \.zip$ 2880 80% 30240
refresh_pattern -i \.pdf$ 2880 80% 30240
refresh_pattern -i \.doc$ 2880 80% 30240
refresh_pattern -i \.ppt$ 2880 80% 30240
refresh_pattern -i \.pps$ 2880 80% 30240
refresh_pattern -i \.dll$ 2880 80% 30240
refresh_pattern -i \.rar$ 2880 80% 30240
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# Cache Manager
acl manager proto cache_object
http_access allow manager all
# Configuracion Autentificacion
#Times of life
authenticate_ip_ttl 5 minutes
authenticate_cache_garbage_interval 1 hour
#Basic
auth_param basic children 5
auth_param basic realm Servidor Proxy IPICHOH!
auth_param basic credentialsttl 5 minutes
auth_param basic casesensitive off
auth_param basic program /usr/lib/squid3/squid_ldap_auth -h
ldap.ipichoh.rimed.cu -b dc=ipichoh,dc=rimed,dc=cu -v3 -f
(&(uid=%s)(objectClass=gosaProxyAccount))
#External Groups
external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group
-R -b ou=Groups,dc=ipichoh,dc=rimed,dc=cu -v3 -f
"(&(objectClass=posixGroup)(cn=%g)(memberUid=%u))" -h
ldap.ipichoh.rimed.cu
# Configuracion de Acceso
# IPs de origen
acl ipi_serv src "/etc/squid3/acls/ip-serv"
acl ipi_nodc src "/etc/squid3/acls/ip-noauth"
acl ipi_deny src "/etc/squid3/acls/ip-deny"
# ACL De Dominios
acl cuba dstdomain .cu
acl rimed dstdomain .rimed.cu
acl rimedi dst 192.168.0.0/16
acl ipi dstdomain .ipichoh.rimed.cu
acl nodo_oh dstdomain nodo-oh.ipichoh.rimed.cu
# Grupos
acl usuario_basico external ldap_group internacional
acl usuario_nac external ldap_group nacional
acl usuario_full external ldap_group full
# ACL de redes
# Basicos
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
# Puertos
acl SSL_ports port 443 563 5222 5280
acl Safe_ports port 21 80 443 5222 443 5280 8080 3128
acl purge method PURGE
acl CONNECT method CONNECT
# Sitos a la Navegacion
acl internacional_basica dstdomain
"/etc/squid3/acls/internacional-basica"
acl nacional_deny dstdomain "/etc/squid3/acls/nacional-deny"
acl nacional_deny_regex url_regex
"/etc/squid3/acls/nacional-deny-regex"
acl tematica dstdomain "/etc/squid3/acls/tematica"
# Tipo de archivos y sitios con baja transferencia
acl tipos_ext urlpath_regex -i
"/etc/squid3/acls/tipos-ext-lowrate"
acl tipos_mime_rep rep_mime_type
"/etc/squid3/acls/tipos-mime-lowrate"
acl tipos_mime_req req_mime_type
"/etc/squid3/acls/tipos-mime-lowrate"
acl sitios_slow dstdomain
"/etc/squid3/acls/slow-sites"
acl nod32 url_regex
^(ftp|http|https)://.*nod32v3.*zip$
acl nod32 url_regex .*nup$
#Auth
#IPs
acl usuariosip max_user_ip 2
#acl password
acl password proxy_auth REQUIRED
#SQUISH
acl SQUISHED1 proxy_auth -i "/etc/squid/squished"
#Especiales
acl extra proxy_auth -i "/etc/squid3/acls/extra"
# Declaracion de Permisos
#NO PASS para pcs
http_access deny password nodo_oh
http_access deny password ipi_nodc
http_access allow password all
#Nopass
#Localhost
http_access allow localhost all
http_access allow ipi_nodc all
# IPs denegadas
http_access deny ipi_deny all
#PORTos
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# No IPI.rimed.cu
http_access allow all nodo_oh
http_access deny all ipi
#Cuota
http_access deny SQUISHED1
#Una ip por usuarios
#http_access deny usuariosip all !ipi_nodc
# Sitios nacionales no Autorizados
http_access deny usuario_nac nacional_deny !extra
http_access deny usuario_basico nacional_deny !extra
http_access deny usuario_nac nacional_deny_regex !extra
http_access deny usuario_basico nacional_deny_regex !extra
http_access deny usuario_nac nod32
http_access deny usuario_basico nod32
# Cuba
http_access allow usuario_nac cuba
http_access allow usuario_nac tematica
http_access allow usuario_basico cuba
# Sitios internacionales
http_access allow usuario_basico internacional_basica
# Denegar todo los accesos
http_access deny usuario_nac all !extra
http_access deny usuario_basico all !extra
# Usuarios con accesso completo
http_access allow usuario_full all
http_access allow extra all
#Deniego el Resto del Mundo
#http_access deny all
#http_reply_access deny all
#icp_access deny all
# Deny Info
deny_info http://nodo-oh.ipichoh.rimed.cu/?page_id=9 SQUISHED1
deny_info http://nodo-oh.ipichoh.rimed.cu/?page_id=9 SQUISHED3
deny_info http://nodo-oh.ipichoh.rimed.cu/?p=42 ipi
deny_info http://nodo-oh.ipichoh.rimed.cu/?page_id=52 all
deny_info http://nodo-oh.ipichoh.rimed.cu/?page_id=52 password
deny_info http://nodo-oh.ipichoh.rimed.cu/?p=64 nacional_deny
deny_info http://nodo-oh.ipichoh.rimed.cu/?p=64
nacional_deny_regex
deny_info http://nodo-oh.ipichoh.rimed.cu/?p=66 domain_pc
deny_info http://nodo-oh.ipichoh.rimed.cu/?p=79 nod32
# Delays Pools
# Defino para 4 Canales y uno por tipos mime/ext
# NOTA: +1 Para prueba con delay class 4
delay_pools 4
#Canal 1 Laboratorios
delay_class 1 4
# Parametros 12Kb/s-512Kb 8Kb/s-512Kb 5/Kbs-2Mb
delay_parameters 1 12288/32768 8192/32768 5120/32768 5120/32768
#Canal 2 Full Access
delay_class 2 4
#delay_parameters 2 20480/262144 15360/512000 10240/1048576
10240/1048576
delay_parameters 2 -1/-1 -1/-1 30240/32768 30240/32768
#Canal 3 Descargas
delay_class 3 3
delay_parameters 3 7168/32768 -1/-1 2560/32768
#Canal 4 Slow Sites
delay_class 4 3
delay_parameters 4 3000/32768 -1/-1 1000/32768
#Delay Especificaciones
delay_initial_bucket_level 1 75%
# Redes por Delay
delay_access 1 deny tipos_ext
delay_access 1 deny sitios_slow
delay_access 1 allow usuario_nac
delay_access 1 allow usuario_basico
delay_access 1 deny all
delay_access 2 allow usuario_full
delay_access 2 allow ipi_nodc
delay_access 2 deny all
delay_access 3 deny usuario_full
delay_access 3 deny ipi_nodc
delay_access 3 allow tipos_ext
delay_access 3 deny all
delay_access 4 deny usuario_full
delay_access 4 deny ipi_nodc
delay_access 4 deny tipos_ext
delay_access 4 allow sitios_slow
delay_access 4 deny all
# Direccionamiento de los pedidos
always_direct allow rimed rimedi
never_direct allow all
--
Les agradeceria su ayuda.
Atte.
Carlos Sosa
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de
Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
--
Frank Ernesto Morales Quiroga alias "NEt"
................................................................
Administrador, Nodo Nacional de los C.D.R
Redes & Comunicaciones
Vedado, Ciudad La Habana, Cuba
Web-Site: http://www.cdr.cu
Email: fr...@cdr.cu
Jabber: fr...@cdr.cu
Telf: (07) 8367372
--
GNU/Linux Debian 6.0 alias "Squeeze"
...............................................................
"Conseguirás lo que quieras si no tienes miedo ..."
"El conocimiento humano pertenece al mundo..."
...............................................................
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l