Comments 9
Очень сумбурно, следы бездумной копипасты. Подходит для собственной записульки, но не для хауту. Новичок по этой инструкции ничего не настроит. Некоторые моменты спорны, правильный krb5.conf выглядит по-другому, не хватает важных пояснений. Настраивать правила ip route нужно для всех интерфейсов, включая лупбек. www.opennet.ru/docs/RUS/LARTC/x348.html
А зачем нужен pam-krb pam-winbind nss-winbind? Для доступа на машину с win пользователем?
kerberos здесь нужен для функционирования samba4?
kerberos здесь нужен для функционирования samba4?
С трудом понял для чего вообще все это настраивалось.
А все оказалось довольно проще, оказывается из-за двух строчек в файле squid.conf. И стоило из-за них писать целую статью?
И уже если продолжать критиковать, то могу смело сказать что использование samba там где она совсем не нужна, это сильно небезопасно. Для авторизации пользователей на squid через kerberos достаточно самого kerberos и создания записи в домене для этого сервера. Ну а если уже дальше хочется еще и по доменным группам рулить пользователями, то юзаем ldap_group (или что-то в этом роде) и все становится хорошо, до того момента как нам не приходит на ум использовать squid guard для ограничения посещений интернет ресурсов. Лично у меня squidguard не получилось завести на работу с ldap. Хотя в версии 1.5 обещают работу из коробки.
А все оказалось довольно проще, оказывается из-за двух строчек в файле squid.conf. И стоило из-за них писать целую статью?
И уже если продолжать критиковать, то могу смело сказать что использование samba там где она совсем не нужна, это сильно небезопасно. Для авторизации пользователей на squid через kerberos достаточно самого kerberos и создания записи в домене для этого сервера. Ну а если уже дальше хочется еще и по доменным группам рулить пользователями, то юзаем ldap_group (или что-то в этом роде) и все становится хорошо, до того момента как нам не приходит на ум использовать squid guard для ограничения посещений интернет ресурсов. Лично у меня squidguard не получилось завести на работу с ldap. Хотя в версии 1.5 обещают работу из коробки.
А зачем керберос, если в итоге используется NTLM?
Про несколько портов на squid интересная идея. Но лучше было бы в статье сконцентрироваться на чем-то одном, например поиграться с различными вариантами использования tcp_outgoing_address.
Много где для tcp_outgoing_address используют acl src, у вас acl myport, еще интересно использовать acl aclname dstdomain и т.п., например, для заворачивания в vpn некоторых сайтов…
Много где для tcp_outgoing_address используют acl src, у вас acl myport, еще интересно использовать acl aclname dstdomain и т.п., например, для заворачивания в vpn некоторых сайтов…
Sign up to leave a comment.
Мультипрокси на базе Debian и SQUID с прозрачной доменной аутентификацией