Adenilson, o grupo_internet terá acesso a internet e o restante não. Ou seja, o que não estiver no dentro do grupo INTERNET(grupo do AD) na acl grupo_internet, não terá acesso a internet.
Em 6 de maio de 2010 17:13, Adenilson Mezini - TI
<adenilson.mezini@ carbinox. com.br> escreveu:
Anderson, qual o grupo que não deve ter acesso à internet, qual deve ter.
Ai galera! Boa tarde! Estou passando pela seguinte situação, fiz a configuração da squid versão 2.6 stable4. A configuração dele está autenticando no AD sendo que não está barrando o acesso à um determinado grupo que não quero
que tenha o acesso à internet. Também quero que tirando esse grupo, todo o restante de grupos ou usuários possam ter acesso para internet. Como liberar o acesso a internet apenas para um grupo do AD e bloqueando todo o resto.O meu squid.conf é o seguinte:
# NETWORK OPTIONS
# ------------ --------- --------- --------- --------- --------- -
http_port 3128
visible_hostname teste
# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# ------------ --------- --------- --------- --------- --------- -
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_ encoding allow apache
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
# ------------ --------- --------- --------- --------- --------- -
access_log /var/log/squid/ access.log squid
cache_store_ log none
# OPTIONS FOR TUNING THE CACHE
# ------------ --------- --------- --------- --------- --------- -
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
## Opção para autenticação
# Autenticação automática com o usuário logado no Windows. Funciona apenas para estação Windows
#auth_param ntlm program /usr/bin/ntlm_ auth dominio.com/ srv --helper-protocol= squid-2.5- ntlmssp
#auth_param ntlm children 5
#auth_param ntlm keep_alive on
# Autenticação normal. Abre tela de login e senha
auth_param basic program /usr/bin/ntlm_ auth dominio.com/ srv --helper-protocol= squid-2.5- basic
auth_param basic children 5
auth_param basic realm .dominio proxy server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
# Escolher apenas uma das opções acima.
# ACCESS CONTROLS
# ------------ --------- --------- --------- --------- --------- -
acl manager proto cache_object
acl localhost src 127.0.0.1/255. 255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 2443 8080 4443
acl Safe_ports port 8080 # visavale
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 2443 # Volvo
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0. 0.0
# Configuracao do cliente
acl rede_interna src 10.0.0.0/255. 255.0.0
acl autenticar proxy_auth REQUIRED
external_acl_ type nt_group %LOGIN /usr/lib/squid/wbinfo_group. pl
acl grupo_internet external nt_group INTERNET
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
# Allow localhost
http_access allow localhost
# Configuracao do cliente
#http_access allow autenticar
http_access allow grupo_internet
http_access allow rede_interna
# Bloquear o resto
http_access deny all
http_reply_access allow all
icp_access allow all
# DELAY POOL PARAMETERS (all require DELAY_POOLS compilation option)
# ------------ --------- --------- --------- --------- --------- -
coredump_dir /var/spool/squid
O conteúdo desta mensagem é de propriedade do Grupo Carbinox e seu teor é dirigido apenas para conhecimento do seu destinatário. Não implica em assunção de responsabilidade e/ou contratação de qualquer outra espécie,
as quais sempre serão feitas por escrito e através de instrumento próprio. A divulgação do conteúdo desta mensagem é crime nos termos da legislação vigente. Não sendo o destinatário da mesma, favor inutilizá-la, sob as penas da lei.
Colabore com sua empresa e com o meio ambiente, só imprima se extremamente necessário.
