오징어 인증 및 스트리밍

Kerberos 인증을 사용하여 오징어를 설정했습니다. 나는 또한 웹의 일반적인 불쾌함을 차단하기 위해 URL 리디렉터로 squidguard를 사용하고 있습니다. 하지만 특정 사용자에게 허용되는 사이트도 있고 허용하지 않는 사이트도 있습니다. 스트리밍을 사용하지 않는다고 가정하면 이 모든 것이 잘 작동합니다.

내가 수행한 오징어 로그 및 Wireshark 추적에서 확인할 수 있는 바에 따르면, 스트리밍에 대한 초기 요청이 전송되면 모든 것이 양호하고 인증된 사용자 이름이 요청과 함께 Squidguard로 전송됩니다. 문제는 후속 트래픽에서 사용자 이름이 squidguard로 전송되지 않아 기본 정책에 따라 차단된다는 것입니다.

나는 오징어에 내장된 허용/거부 기능을 사용해 보았지만 상대적으로 투박했고 지금까지 오징어 가드는 꽤 쉽고 빨랐습니다.

질문은 다음과 같습니다.

• Squid가 모든 요청에 ​​대해 사용자 이름을 전달하도록 하려면 어떻게 해야 합니까? (뭔가 이것이 최선의 방법이 아니라고 나에게 말한다)
• 사용자 이름이 전달되지 않은 경우에도 Squidguard가 특정 사용자에 대한 트래픽이 인증되었는지 확인하려면 어떻게 해야 합니까?
• 이를 수행하는 다른 방법이 있습니까?

중요할 수 있는 몇 가지 세부 사항은 다음과 같습니다.

• 나는 비교를 위해 Squidguard의 텍스트 파일에 저장된 사용자 목록을 사용하고 있습니다.
• Squid에서 전체 Kerberos 인증을 사용하고 있습니다.
• 센트OS 6.0
• 오징어 3.1.4
• 스퀴드가드 1.3

편집하다

설명을 위해 무슨 일이 일어나고 있는지 보여주기 위해 다음 calamaris 조각을 추가했습니다.

wsXX.domain.local                       534   5.99      34M   3.04    1   69.93
  *.outsidedomain.com                   204  14.22       5M  20.66    0   92.14
 <error>                                137   0.00       0M   0.00    0  589.16

[email protected]@wsXX.domain.local    115   0.00       1M   0.00   70    0.16
 *.outsidedomain.com                     84   0.00       1M   0.00   73    0.17
 <error>                                 24   0.00       0M   0.00   21    0.00

* 편집하다 *

토끼 구멍을 더 깊이 조사해 보면 특히 HTTP 요청에 대한 응답에 대해 인증하지 않는 것으로 보입니다. 사실 내가 성명서를 넣으면

    http_reply_access deny !auth

https 트래픽은 허용되지 않지만 대부분의 http 트래픽은 허용됩니다. 완전히 어리둥절합니다. 실제로는 인증되지 않은 트래픽을 통과시키는 것처럼 보입니다(오늘 테스트할 예정입니다)[테스트를 거쳤으며 인증되지 않은 http 트래픽을 허용하지만 https가 핫합니다]. 내 squid.conf에 다음 줄이 있습니다.

    http_access deny !auth
    http_access allow auth
    http_access deny all

* 편집하다 * 인증되지 않은 http를 수정했으며 httpsm 스트리밍 사이트를 제외하고 모든 것이 잘 작동하는 것 같습니다.

그만한 가치가 있기 때문에 구성에서 다음 줄을 변경해야 했습니다.

   http_access deny !Safe_ports 

에게

   http_access deny !Safe_ports !auth