problen whith authentication

classic Classic list List threaded Threaded
2 messages Options
Reply | Threaded
Open this post in threaded view
|

problen whith authentication

Alex Gutiérrez

HI community, reciently I install an old UBT 18.04 with squid 3. I use to authenticate my users kerberos.

Everithing seem´s great, but my all my users are able to use the proxy, instead of the few in the conexion group.

Can anyone be so nice to tell me what´s wrong on my config?

Thanks in advance.


httpd_suppress_version_string on
visible_hostname Proxy
via off
forwarded_for off
follow_x_forwarded_for deny all
error_directory /usr/share/squid_error
acl SSL_ports port 443
acl Safe_ports port 21 # ftp
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http_cubaindustria
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 443 # https
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 1025-65535 # unregistered ports
acl CONNECT method CONNECT
#################
#sqstat
#################
acl webserver src proxy.esines.cu
http_access allow manager webserver
http_access deny manager
##########################################
# Logs:
access_log /var/log/squid/access.log squid !manager
logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt
log_uses_indirect_client on
##########################################
#No Permitimos los puertos inseguros
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
##########################################
#permitir todo lo que sea de cuba
##########################################
acl cuba dstdomain .cu
http_access allow cuba all
########################################################
#auth kerberos de windows#
########################################################
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -s [hidden email] -k /etc/squid/proxy.keytab
external_acl_type Group ipv4 children-startup=10 children-max=15 ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -D ESINES.CU
external_acl_type Group %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -g [hidden email]
acl auth proxy_auth REQUIRED
acl GrupoInternet external Group
http_access allow auth GrupoInternet
http_access deny !auth
http_access allow auth
authenticate_ip_ttl 600 seconds
acl multilogin max_user_ip -s 1
http_access deny multilogin
########################################################
#definicion de horarios#
########################################################
acl horafb time MTWHF 09:00-12:00 14:00-16:00
########################################################
#No permitir navegacion por ip
########################################################
acl bloquear_ip url_regex [0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}
http_access deny bloquear_ip
########################################################
#declaracion de acl no básicas#
########################################################
acl lista-negra dstdomain -n "/etc/squid/lista-negra"
acl sociales dstdomain -n "/etc/squid/sociales"
acl pcinternet src "/etc/squid/ip-internet"
http_access deny lista-negra
http_access deny sociales horafb
#########################################################################
#proxy padre
#########################################################################
cache_peer proxyservicio.etecsa.cu parent 3040 0
#########################################################################
#nunca permitimos conexiones directas, siempre a traves del proxy
#########################################################################
never_direct allow all
#######################################################################
# puerto en que el proxy escuchara a los clientes
http_port 8569
#########################################################################
#########################################################################
#Cache #
#########################################################################
delay_initial_bucket_level 75
maximum_object_size 32 MB
#cache_dir aufs /var/cache/squid 10240 16 256
cache_dir aufs /var/squid 1024 16 256
cache_mem 256 MB
cache_store_log /var/squid/cache_store.log
coredump_dir /var/squid/dump
minimum_expiry_time 550 seconds
############################
#uso cache
###########################
client_db off
offline_mode off
cache_swap_low 93
cache_swap_high 97
cache_replacement_policy heap LUDFA
memory_replacement_policy heap GDSF
maximum_object_size_in_memory 512 KB
half_closed_clients off
###############################################################################
# establecemos los archivos de volcado en /var/cache/squid/
coredump_dir /var/squid/
###############################################################################
#Establecemos los patrones de refrescamiento de la cache #
#patron de refrescamiento -- tipo de archivo -- tiempo del objeto -- %de refresc                                                 amiento -- tiempo #
#1440 minutos equivalen a 24 horas #
################################
#Refrescamiento de la cache
################################
refresh_pattern ^ftp: 1440 20% 4320
refresh_pattern ^gopher: 1440 0% 4320
refresh_pattern -i \.(gif|png|jpg|jpeg|ico)$ 1440 90% 4320 override-expire ignor                                                 e-no-store ignore-private
refresh_pattern -i \.(iso|avi|wav|mp3|mp4|mpeg|swf|flv|x-flv)$ 1440 90% 43200 ov                                                 erride-expire ignore-no-store ignore-private
refresh_pattern -i \.(deb|exe|zip|tar|tgz|ram|rar|bin|ppt|doc|tiff|pdf|xls|docx|                                                 xlsx|pptx)$ 1440 90% 4320 override-expire ignore-no-store ignore-private
refresh_pattern -i \.index.(html|htm)$ 1440 70% 4320
refresh_pattern -i \.(html|htm|css|js)$ 1440 70% 4320
refresh_pattern . 1440 40% 4320
######################################################
##cuanto el squid intenta cachear en mi nombre
read_ahead_gap 200 KB
quick_abort_min 1024 KB
quick_abort_max 16 KB
quick_abort_pct 95
###############################################################################
#defino las piscinas de retardo
###############################################################################
delay_pools 2

#Canal 1 advertising
delay_class 1 2
delay_access 1 allow sociales !GrupoInternet
delay_access 1 deny all
delay_parameters 1 32768/16348 16348/16348

#Canal 1 sociales
delay_class 2 1
delay_access 2 allow pcinternet
delay_access 2 deny all
delay_parameters 2 65536/32768

-- 
Saludos cordiales

Lic. Alex Gutiérrez Martínez


_______________________________________________
squid-users mailing list
[hidden email]
http://lists.squid-cache.org/listinfo/squid-users
Reply | Threaded
Open this post in threaded view
|

Re: problen whith authentication

Markus Moeller
What does he cache log show  ?
 
Markus
 
"Alex Gutiérrez" <[hidden email]> wrote in message news:[hidden email]...

HI community, reciently I install an old UBT 18.04 with squid 3. I use to authenticate my users kerberos.

Everithing seem´s great, but my all my users are able to use the proxy, instead of the few in the conexion group.

Can anyone be so nice to tell me what´s wrong on my config?

Thanks in advance.

 

httpd_suppress_version_string on
visible_hostname Proxy
via off
forwarded_for off
follow_x_forwarded_for deny all
error_directory /usr/share/squid_error
acl SSL_ports port 443
acl Safe_ports port 21 # ftp
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http_cubaindustria
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 443 # https
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 1025-65535 # unregistered ports
acl CONNECT method CONNECT
#################
#sqstat
#################
acl webserver src proxy.esines.cu
http_access allow manager webserver
http_access deny manager
##########################################
# Logs:
access_log /var/log/squid/access.log squid !manager
logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt
log_uses_indirect_client on
##########################################
#No Permitimos los puertos inseguros
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
##########################################
#permitir todo lo que sea de cuba
##########################################
acl cuba dstdomain .cu
http_access allow cuba all
########################################################
#auth kerberos de windows#
########################################################
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -s HTTP/[hidden email] -k /etc/squid/proxy.keytab
external_acl_type Group ipv4 children-startup=10 children-max=15 ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -D ESINES.CU
external_acl_type Group %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -g [hidden email]
acl auth proxy_auth REQUIRED
acl GrupoInternet external Group
http_access allow auth GrupoInternet
http_access deny !auth
http_access allow auth
authenticate_ip_ttl 600 seconds
acl multilogin max_user_ip -s 1
http_access deny multilogin
########################################################
#definicion de horarios#
########################################################
acl horafb time MTWHF 09:00-12:00 14:00-16:00
########################################################
#No permitir navegacion por ip
########################################################
acl bloquear_ip url_regex [0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}
http_access deny bloquear_ip
########################################################
#declaracion de acl no básicas#
########################################################
acl lista-negra dstdomain -n "/etc/squid/lista-negra"
acl sociales dstdomain -n "/etc/squid/sociales"
acl pcinternet src "/etc/squid/ip-internet"
http_access deny lista-negra
http_access deny sociales horafb
#########################################################################
#proxy padre
#########################################################################
cache_peer proxyservicio.etecsa.cu parent 3040 0
#########################################################################
#nunca permitimos conexiones directas, siempre a traves del proxy
#########################################################################
never_direct allow all
#######################################################################
# puerto en que el proxy escuchara a los clientes
http_port 8569
#########################################################################
#########################################################################
#Cache #
#########################################################################
delay_initial_bucket_level 75
maximum_object_size 32 MB
#cache_dir aufs /var/cache/squid 10240 16 256
cache_dir aufs /var/squid 1024 16 256
cache_mem 256 MB
cache_store_log /var/squid/cache_store.log
coredump_dir /var/squid/dump
minimum_expiry_time 550 seconds
############################
#uso cache
###########################
client_db off
offline_mode off
cache_swap_low 93
cache_swap_high 97
cache_replacement_policy heap LUDFA
memory_replacement_policy heap GDSF
maximum_object_size_in_memory 512 KB
half_closed_clients off
###############################################################################
# establecemos los archivos de volcado en /var/cache/squid/
coredump_dir /var/squid/
###############################################################################
#Establecemos los patrones de refrescamiento de la cache #
#patron de refrescamiento -- tipo de archivo -- tiempo del objeto -- %de refresc                                                 amiento -- tiempo #
#1440 minutos equivalen a 24 horas #
################################
#Refrescamiento de la cache
################################
refresh_pattern ^ftp: 1440 20% 4320
refresh_pattern ^gopher: 1440 0% 4320
refresh_pattern -i \.(gif|png|jpg|jpeg|ico)$ 1440 90% 4320 override-expire ignor                                                 e-no-store ignore-private
refresh_pattern -i \.(iso|avi|wav|mp3|mp4|mpeg|swf|flv|x-flv)$ 1440 90% 43200 ov                                                 erride-expire ignore-no-store ignore-private
refresh_pattern -i \.(deb|exe|zip|tar|tgz|ram|rar|bin|ppt|doc|tiff|pdf|xls|docx|                                                 xlsx|pptx)$ 1440 90% 4320 override-expire ignore-no-store ignore-private
refresh_pattern -i \.index.(html|htm)$ 1440 70% 4320
refresh_pattern -i \.(html|htm|css|js)$ 1440 70% 4320
refresh_pattern . 1440 40% 4320
######################################################
##cuanto el squid intenta cachear en mi nombre
read_ahead_gap 200 KB
quick_abort_min 1024 KB
quick_abort_max 16 KB
quick_abort_pct 95
###############################################################################
#defino las piscinas de retardo
###############################################################################
delay_pools 2

#Canal 1 advertising
delay_class 1 2
delay_access 1 allow sociales !GrupoInternet
delay_access 1 deny all
delay_parameters 1 32768/16348 16348/16348

#Canal 1 sociales
delay_class 2 1
delay_access 2 allow pcinternet
delay_access 2 deny all
delay_parameters 2 65536/32768

-- 
Saludos cordiales

Lic. Alex Gutiérrez Martínez


_______________________________________________
squid-users mailing list
[hidden email]
http://lists.squid-cache.org/listinfo/squid-users

_______________________________________________
squid-users mailing list
[hidden email]
http://lists.squid-cache.org/listinfo/squid-users