[Platform50-dev] Girar Builder robot: [#4744] 5.0 COMPLETE alterator-squid.git=v1.0-alt3.M50.1-1

Пт Апр 17 15:56:16 MSD 2009

Pavel Wolneykien <manowar на altlinux.org> writes:

> Vitaly Kuznetsov <vitty на altlinux.ru> wrote:
>
>> Группы пользователей тут имеются ввиду общестистемные а не какие-то
> свои.
>
>   С одной стороны это и есть общесистемные группы: ты можешь работать
> с
> любой известной группой, предварительно включив её в список. С другой
> стороны, это, действительно, "свои" группы: с каждой группой связана
> информация о доменах, которую нужно где-то хранить. Причём при
> удалении
> группы из системы эта информация не потеряется. Не знаю, правда, бага
> это или фича, но попадание в конфигурационный файл сервера
> имён несуществующих групп не опасно для его работы.

У меня на компе она на что-то ругается и списки пусты (но у меня нет
LDAPа). 

>
>> 
>> Я, вобщем, не очень понимаю для чего и как пользоваться теми
>> Ports,Networks,Domains,Groups.
>
>   Открывать и закрывать на прокси-сервере порты -- это очень
> распространённая операция. Например, она потребуется для того, чтобы
> организовать работу Jabber через прокси. Единственное чего здесь не
> хватает -- это, на мой взгляд, умолчательной конфигурации портов, я
> сейчас её добавлю.

Ага, давай, только это всё надо как-то назвать. "Разрешённые порты" с
умолчанием 80/8080/443

>
>   Возможность определить внутренние сети была и в исходной для меня
> версии alterator-squid и я просто её оставил. По умолчанию там только
> 127.0.0.1 и это, по моему, правильно.
>

Нет, в рамках 5.0 это не правильно. У нас есть одно место определения
внутренних сетей (net-iptables), все остальные используют эту
информацию. 

>   А домены и группы нужны как раз для решения новой задачи:
> разграничения доступа к сайтам (то бишь доменам) на основе групп.
> Для каждой группы можно указать список разрешённых (или запрещённых)
> доменов. Конечно, информацию о самих доменах тоже нужно сначала ввести
> в
> систему. При этом им можно сразу же дать "человеческие" имена,
> например:
> "Поисковые системы", "Образовательные сайты", "Русскоязычные блоги" и
> т.п. После того, как БД доменов задана, можно распределять доступ к
> ним
> по группам.

Тут логика по мне наизнанку вывернута. 

Логично Группа -> Политика досутпа (whitelist/blacklist) -> Список
разрешённого/запрещённого.

А у нас мухи отдельно, котлеты отдельно. 