我configuration鱿鱼authentication使用胜AD,但用户可以连接从不同的IP地址,我不能设置政策基于IP为不同的用户。
是任何方式来设置基于用户名的ACL?
我发现ident
http://www.visolve.com/squid/squid24s1/access_controls.php
它是否适合我的testing用例?
您需要定义和使用proxy_authtypes的ACL; 根据您链接的页面:
Acltypes:proxy_auth
描述通过外部进程的用户authentication。 proxy_auth需要EXTERNAL身份validation程序来检查用户名/密码组合(请参阅authenticate_program)。
用法acl aclname proxy_auth用户名…
使用REQUIRED而不是用户名接受任何有效的用户名
示例acl ACLAUTH proxy_auth usha venkatesh balu deepa
这acl是通过外部程序validation用户usha,venkatesh,balu和deepa。
这样,Squid将使用您select的任何身份validation方法来validation用户(您说这已经到位,所以您应该没有问题),然后您将能够根据用户名筛选访问权限。
示例configuration:
acl Good_Users user1 user2 user3 http_access allow Good_Users http_access deny all
这将只允许用户1,用户2和用户3访问networking。
你需要意识到,通过ident提供伪凭证相对容易(除非客户被locking)。 它还需要在客户机上安装软件。 我以前在一个公司的局域网上使用了这种混合的客户端,这对我很有帮助,但是在微软开始搞乱LDAP之前,我把这个系统设置了很久。
AFAIK,虽然你也可以使用NTLM,但是在微软以外的地方,它唯一的身份是安全的。
活动目录方法(假设你正在做这样的事情而不是NTLM)应该更安全。 但是,如果你是,那么WTF有IP地址与它呢? 听起来像你有一个非常破碎的解决scheme,依靠IP地址(错误)身份validation。 (IP地址很容易伪造)。
它是否适合我的testing用例?
我不知道你的testing用例是什么。