В Squidguard легко. А как с помощью режика?..

narian · Сообщение **narian** » Пт ноя 10, 2006 10:08

Пользуюсь режиком уже долгое время.
Сейчас стоит следующая задача - есть список ресурсов, доступ которым должны иметь большинство пользователей (но не все). Также есть индивидуальные списки для каждого из пользователей, причем некоторые пользователи могут иметь доступ только к этим ресурсам, не имея доступа к ресурсам, доступным большинству.

В сквидгарде это решается совсем просто:
кусок из squidGuard.com

dbhome /usr/local/squidGuard/db
logdir /usr/local/squidGuard/logs

src otdel_investitsiy {
user invest1 invest2
}

src tchaschina {
user tchaschina
}

dest otdel_investitsiy {
domainlist allow/otdel_investitsiy
}

dest allow-to-everybody {
domainlist allow/everybody
}

dest tchaschina {
domainlist allow/tchaschina
}

acl {

otdel_investitsiy {
pass otdel_investitsiy allow-to-everybody none
redirect ftp://192.168.1.10/access_denied.html
}

tchaschina {
pass tchaschina none
redirect ftp://192.168.1.10/access_denied.html
}

default {
pass allow-to-everybody none
redirect ftp://192.168.1.10/access_denied.html
log default.log
}

} #acl

Отделу инвестиций разрешен доступ к ресурсам из списка allow/otdel_investitsiy и к ресурсам из списка allow/everybody.

Чащина имеет доступ только к ресурсам прописанным в allow/tchaschina.

Пользователи, которые здесь не определены будут иметь доступ только к allow/everybody.

Сколько ни бился реализовать подобное с помощью режика не смог.

Сможет кто-нибудь дать подсказку, уж больно не хочется на сквидгард переходить.

Сообщение **Slava** » Пт ноя 10, 2006 12:18

Кажется довольно просто:

Сначала секции с ограниченным списком пользователей, например:

<otdel_investitsiy>
work_id invest1
work_id invest2
url ....
ban_dir ...
reverse

В конце конфига секция, про неопределённых пользователей:
<otdel_investitsiy>
url ....
ban_dir ...
reverse

Единственное осложнение, urls для каждой секции надо иметь в виде одного файла. Соответственно сложите вместе листы там, где это нужно.

narian · Сообщение **narian** » Вт ноя 14, 2006 4:32

<STEPANTSOVA>
work_id stepantsova
ban_dir /usr/local/rejik3/banlists/allow/stepantsova
url ftp://192.168.1.10/access-denied.html
reverse

<KAKHNO>
work_id kakhno
ban_dir /usr/local/rejik3/banlists/allow/kakhno
url ftp://192.168.1.10/access-denied.html
reverse

<EVERYBODY>
ban_dir /usr/local/rejik3/banlists/allow/everybody
url ftp://192.168.1.10/access-denied.html
reverse

Ресурсов Степанцовой (vl.ru и kadrovik.ru) в списке everybody нет.
В redirector.log видим следующее:

2006-11-14 12:09:45 EVERYBODY: 192.168.1.50 stepantsova http://kadrovik.ru/ (urls rule: kadrovik.ru)
2006-11-14 12:09:46 EVERYBODY: 192.168.1.50 stepantsova http://kadrovik.ru/ (urls rule: kadrovik.ru)
2006-11-14 12:10:14 EVERYBODY: 192.168.1.50 stepantsova http://vl.ru/ (urls rule: vl.ru)
2006-11-14 12:10:16 EVERYBODY: 192.168.1.50 stepantsova http://vl.ru/ (urls rule: vl.ru)

К своим ресурсам она получить доступ не может - не пускает секция everybody

И еще одна странность:
2006-11-14 12:10:57 STEPANTSOVA: 192.168.1.50 stepantsova http://www.rejik.ru/forum/ (urls rule: cbr.ru)

Не пускает секция STEPANTSOVA, это правильно. Но откуда urls rule: cbr.ru? cbr.ru есть только в списке everybody.

Сообщение **Slava** » Вт ноя 14, 2006 8:35

Сделайте в EVERYBODY allow_id stepantsova.

Странность похожа на ошибку в версии 3.2.0, если так, то обновитесь до 3.2.1

narian · Сообщение **narian** » Чт ноя 16, 2006 7:14

Slava писал(а):Сделайте в EVERYBODY allow_id stepantsova.

И, соответственно, всех остальных, кому разрешен доступ к общим ресурсам, тоже.

Slava писал(а): Странность похожа на ошибку в версии 3.2.0, если так, то обновитесь до 3.2.1

У меня 3.2.1

narian · Сообщение **narian** » Чт мар 01, 2007 10:53

Slava писал(а):Сделайте в EVERYBODY allow_id stepantsova.

Попробовать нашел время только сейчас. Не помогает - после добавления пользователя в allow_id режик пропускает его куда угодно.

Сообщение **Slava** » Чт мар 01, 2007 12:07

Покажите весь получившийся конфиг.

narian · Сообщение **narian** » Вт мар 06, 2007 8:23

Код: Выделить всё

error_log /usr/local/rejik3/redirector.err
change_log /usr/local/rejik3/redirector.log
make-cache /usr/local/rejik3/make-cache
#allow_urls /usr/local/rejik3/banlists/allow_urls

<BANNER>
ban_dir /usr/local/rejik3/banlists/banners
url http://192.168.1.13/ban/1x1.gif
log off

#<MP3>
#ban_dir /usr/local/rejik3/banlists/mp3
#url http://127.0.0.1/ban/mp3.html

<VALUTNIY_OTDEL>
work_id /usr/local/rejik3/work_id/valutniy_otdel
ban_dir /usr/local/rejik3/work_lists/valutniy_otdel
url http://192.168.1.13/ban/access_denied.html
reverse

<AKSENOV>
work_id aksenov
ban_dir /usr/local/rejik3/work_lists/aksenov
url http://192.168.1.13/ban/access_denied.html
reverse

<GRITSAJUK>
work_id gritsajuk
ban_dir /usr/local/rejik3/work_lists/gritsajuk
url http://192.168.1.13/ban/access_denied.html
reverse

<KOROLEVA>
work_id koroleva
ban_dir /usr/local/rejik3/work_lists/koroleva
url http://192.168.1.13/ban/access_denied.html
reverse

<STEPANTSOVA>
work_id stepantsova
ban_dir /usr/local/rejik3/work_lists/aksenov
url http://192.168.1.13/ban/access_denied.html
reverse

<VAKULENKO>
work_id vakulenko
ban_dir /usr/local/rejik3/work_lists/aksenov
url http://192.168.1.13/ban/access_denied.html
reverse

<ALLOW_EVERYTHING>
work_id f:/usr/local/rejik3/work_id/allow_all
ban_dir /usr/local/rejik3/work_lists/allow_all
url http://192.168.1.13/ban/access_denied.html

<COMMON>
allow_id f:/usr/local/rejik3/work_id/all
ban_dir /usr/local/rejik3/work_lists/common
url http://192.168.1.13/ban/access_denied.html
reverse