Author Topic: Правила в HTTP Proxy  (Read 10162 times)

Egenius

  • Zen Apprentice
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Правила в HTTP Proxy
« on: March 01, 2012, 12:54:32 pm »
Доброго времени суток!

Помогите разобраться с правилами разграничения доступа в прокси-сервере.

Пользователи в домене, доступ к прокси по авторизации на основе групп.
Есть несколько групп, в зависимости от принадлежности к которым пользователь должен иметь доступ к определённым ресурсам.
ICQ - доступ к ICQ|чат-сервисам
LIMITED - доступ ко всему, за исключением порно и т.п.
UNLIM - полный доступ
Плюс ещё есть сайты банк-клиентов, к которым пользователи должны подключаться без авторизации.
Пользователь может быть в нескольких группах.
К примеру, пользователь группы LIMITED по умолчанию не имеет доступа к аське и для того чтобы он его имел он добавлен в группу ICQ
Так проще разграничивать доступ и данная схема работала на другом прокси-сервере.
Но с Zentyal такое не проходит.
Срабатывает только первая совпавшая политика, а остальные отбрасываются.

Делал так.
В основных настройках "Политика по умолчанию: Авторизовать и фильтровать"
В правило по умолчанию "default" добавил все банковские сайты и поставил галку "Блокировать не перечисленные домены и адреса"
Судя по описанию в документации, данное правило должно быть обработанно, в случае, если не было других совпадений в правилах.
Данным шагом я хотел зарубить всех неавторизованных пользователей и заодно обеспечить доступ для банк-клиентов без авторизации.

Небольшое отступление...
Как вариант добавлял данный фильтр в политику объектов, в качестве объекта указав всю локальную сеть. В итоге работало только это правило, т.к. под него попали все клиенты, а до групповых политик дело не дошло.


Далее...
Сделал фильтры для ICQ, LIMITED и UNLIM групп.
В фильтре ICQ указал все домены аськи и других агентов и так же поставил галку "Блокировать не перечисленные домены и адреса"
В Фильтрах LIMITED и UNLIM сделал наоборот, запретил домены из фильтра ICQ.

Кстати, кто подскажет что означает параметр "Фильтровать" в разделе "Правила доменов и URL" ?

Затем прописал групповые политики для групп с применением соответствующих фильтров.
Пробовал менять очерёдность политик, но результат один - если пользователь в нескольких группах, то срабатывает первая совпавшая политика.
Если же пользователь вообще не принадлежит ни одной группе, то правило по-умолчанию тоже не работает.

В общем бьюсь с этим уже второй день, а не продвинулся ни на шаг.
Помогите советом, кто сталкивался с такой задачей.
Заранее благодарю!

PS: Кстати вопрос/предложение к разработчикам.
Почему бы не реализовать применение нескольких фильтров к одной группе ?
На мой взгляд всё было бы намного проще и удобнее.
И ещё, почему в политиках объектов при выборе политик с авторизацией нельзя применять пользовательские фильтры, а только "default" ?
« Last Edit: March 01, 2012, 12:57:46 pm by Egenius »

nickasya

  • Zen Apprentice
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Правила в HTTP Proxy
« Reply #1 on: March 27, 2012, 06:39:05 am »
Мужик, убедительно прошу тебя сперва сходить сюда http://doc.zentyal.org/en/.
Там многое узнаешь. и вопросы отпадут.