Вход для пользователей
Главная / Форумы / SAMS / Squid Account Management System (SAMS)

Использование NIS (ypserver) в качастве сервера авторизации

Изображение пользователя Vii-98.
Vii-98, 18.07.2008 — 12:33

Извините если такой вопрос уже задавался, но в поиске не нашёл. Просто я не совсем понимаю как идет авторизация в SAMS (авторизация в сквиде не вызывает проблем) , и как формирует список доступа, т.к. не все пользователи орг-и имеют инет. Если авторизация может быть чисто системными средствами (pam, saslauthd, ypbind), то вопросов у меня больше не будет ;)

З.Ы. Пользовательскую базу данных держу на линухах, и надеюсь в скором времени юзверские машинки будут на оных)))

‹ Фичи в самс. HELP ›
DmitryChemerik, 22.07.2008 — 00:06

несовсем понятно что вы имеете ввиду под "авторизация в SAMS". Это авторизация пользователей в веб интерфейсе?

1. Юзеры заносятся в базу SAMS, неважно каким способом (руками через веб форму, импортируются из AD и т.п.).
2. Юзерам присваивается шаблон, от которого они наследуют свойства (запрет на доступ к сайтам, скорость скачивания, лимиты)
3. Юзеры могут быть активированы из веб интерфейса, либо отключены :)
Главное помните - SAMS разрешает доступ только для тех юзеров, которые импортированы в его базу и активированы.

>> как формирует список доступа
4. На основе этих данных формируются ACL SQUID когда в веб интерфейсе дается команда на реконфигурацию SQUID

авторизация в веб интерфейсе может призводиться любыми средствами, если вы в них можете передать логин юзера и пароль и в ответ оно выдаст что-то типа "ОК"
Именно так работает, например, авторизация в домене windows - вызывается wbinfo, ему передаются введенные юзером логин и пароль, далее анализируется ответ wbinfo.

Если вы хотите использовать какие-то другие способы авторизации в веб интерфейсе, то это вполне реально. Если решитесь, то я вам помогу реализовать это... Советами :)

Изображение пользователя Vii-98.
Vii-98, 22.07.2008 — 09:36

1) Меня интересует авторизация в веб интерфейсе через pam (или напрямую через # ypcat -h [host] passwd.byname), а также импорт пользователей с помощью команды приведённой выше.
2) Также интересует добавление трафика пользователям если он исчерпал свой трафик на месяц, при этом "тариф" не нужно былоб менять....
3) По умолчанию даже авторизованный пользователь должен быть заблокирован.
4) Самый важный пункт, почитав форум, очень не хорошо что при блокировке происходит релоад сквида, т.к. это происходит очень долго.... у меня от 2-х до 5-и минут (кеш очень большой и юзверов много), надо сделать какнибуть чтоб режик, сквидгард или встроенный в САМС динамически редиректил или просто дропал запросы....

З.Ы. Как я понял функции авторизации (логин пароль) ни как не завязаны с САМС это просто надстройка использующая логи сквида и перезаписывающая ACL самого сквида.... + веб интерфейс для отчётов по трафику....

DmitryChemerik, 23.07.2008 — 01:04

1. ну сделайте это. как я понял у вас авторизация в NIS. Это достаточно экзотично, и реализовывать это вам. Я могу помочь советами где в коде что изменить. Поднимать у себя NIS и писать самому - у меня достаточно других забот.
2. это обсуждалось неоднократно, добавлено небудет
3. непонял этот пункт
4. это невозможно. Редиректор читает свой конфиг (в том числе и список юзеров) при запуске. Запускает его SQUID при старте (реконфигурировании).

Вы все правильно поняли.

Изображение пользователя Vii-98.
Vii-98, 23.07.2008 — 08:21

По третьему пункту, т.к. я работаю в организации более 150 раб станций а юзверей еще больше, то в NIS хоронится вся инфа (логины, пароли, алиасы почтовые, много еще других служб и серверов завязано на это), т.е. когда происходит импорт пользователей, пользователи автоматически включались в группу с количеством трафика 0 Мб.

По четвёртому пункту мне все же кажется что это возможно именно в редиректоре от САМС (если вы его писали), делаю у себя:
#ps ax | grep reji
3970 ? Ss 0:40 (redirector) /usr/local/rejik3/redirector.conf
3971 ? Ss 0:02 (redirector) /usr/local/rejik3/redirector.conf
3972 ? Ss 0:00 (redirector) /usr/local/rejik3/redirector.conf
3973 ? Ss 0:00 (redirector) /usr/local/rejik3/redirector.conf
3974 ? Ss 0:00 (redirector) /usr/local/rejik3/redirector.conf

если есть пид у процесса значит есть возможность и послать ему системный сигнал (например kill -1 3970; kill -1 ......) а этот сигнал как раз и будет командой к перечтению конфы редиректора самим редиректором........

DmitryChemerik, 25.07.2008 — 01:05

по п.3. При импорте юзеров вы можете им задавать шаблон с трафиком 0 Мб. Правда есть и другой способ: вы их импортируете в базу, но не активируете.

По п.4. 150 рабочих станций это МАЛО. 2-5 минут на перезагрузку squidа при таком количестве юзеров - это слишком много. SAMS работает при нескольких тысячах пользователей, и проблемы с перезапуском squid ни у кого еще невызывало. Кроме того, слишком большой кэш при таком объеме юзеров часто бывает неэффективным.
Несколько лет назад я при большем объеме пользователей (одновременно работающих) я экспериментировал с объемами кэша, временем жизни объекта в кэше, размером объектов в кэше. Уже непомню причину, но от большого кэша я отказался...

PavelVinogradov, 25.07.2008 — 20:16

Проблемы при большом количестве пользователей возникали, но это мы уже пофиксили:)

--
NixDev - Open Source solutions for life

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".