Мне нужно ограничить доступ пользователей в интернет таким образом:
1. Пользователь должен выходить с компьтера А под паролем А в интернет;
2. С компьтера B выйти в интернет под паролем А - нельзя.
Т.е. должно быть так, чтобы пользователи выходили в интернет под своими паролями только со своих компьтеров.
Сейчас ситуация такая:
1. Есть локальная сеть;
2. Пользователи сети находятся в домене;
3. Есть точка доступа в интенет;
4. На точке доступа есть файрвол, который разрешает доступ в интернет некоторым пользователям домена через прокси;
5. Пользователи выходят в интернет под логином\паролем учетной записи пользователя домена;
6. В данный момент под паролем какого-нибудь пользователя можно выйти в интернет с любого компьютера.

Пользователей много?
Если немного - можно решить проблему тупо в лоб:
На фаерволе прописать правила для каждого пользователя:
с компа xxx.xxx.xxx.xxx разрешать доступ в инет только юзеру 11111
с компа yyy.yyy.yyy.yyy разрешать доступ в инет только юзеру 22222
и т.д.
криво, но работать будет (это про ISA сервер. Не сказано, что у вас за фаервол стоит..)

Xenia,
файрвол, который разрешает доступ в интернет некоторым пользователям домена через прокси
объясните пожалуйста подробнее как

Xenia,
Если пользователи не бегают с машины на машину, в свойствах учетной записи поставьте "Logon to" и сопоставьте пользователей с компьютерами, на которые им можно логиниться.

Полльзователей 52
Файрвол - Kerio 6-ой
Т.е. получается для каждого пользователя нужно создать такое правило:
с компа xxx.xxx.xxx.xxx разрешать доступ в инет только юзеру 11111
с компа yyy.yyy.yyy.yyy разрешать доступ в инет только юзеру 22222 »
?

Полльзователей 52
...
для каждого пользователя нужно создать такое правило »
Не, в этом случае лучше искать другое решение.
Хотя - если не лениво в настройках керио прописать 52 правила - дерзайте ))

Пользователи всегда работают каждый за своим компом? Может, последовать совету monkkey?

Давайте еще уточним:Пользователи выходят в интернет под логином\паролем учетной записи пользователя домена » Пароль запрашивается у пользователя формой/окном или берется текущий залогиненный юзер?

Да, пользователи всегда работают каждый за своим компьютером. Но внутри одного отдела доступ к интернету есть не у всех, и те у кого нет доступа иногда используют чужой пароль для выхода в интернет.

HLT, Пароль запрашивается у пользователя окном

monkkey, в свойствах учетной записи поставьте "Logon to" и сопоставьте пользователей с компьютерами, на которые им можно логиниться. »
А можно по подробнее ...Как это сделать?

Да, пользователи всегда работают каждый за своим компьютером. Но внутри одного отдела доступ к интернету есть не у всех, и те у кого нет доступа иногда используют чужой пароль для выхода в интернет »
подобные проблемы легко решаются административными мерами, напр. штрафами за нецелевое использование сети. Сотрудник, однажды лишившийся хотя бы 1000 рублей, уже никогда не даст свой пароль соседу, да и еще запомнит его как отче наш. Также станут поступать и другие. Иначе ситуация придет к тому, что сотрудники опять найдут дыру в системе, а вы ее будете затыкать. Надо просто отбить охоту, и всё.

Проще дать доступ по мак адресам.

Не помню как там в Kerio, уже год как не использую, а в ISA создаешь группу типа INTERNET_USERS и включаешь туда всех, кого нужно т.к. ISA стоит в домене - она даже и не будет спрашивать введите пароль а возьмет учетные данные юзера. Того, у кого нету прав на инет - просто пошлет нафиг. Покапай kerio может там есть какая то проверка подлинности - встроенная или дайджест как у ISA.

Хотя не исключено, что эти безнетовские юзеры начнут логиниться под чужими паролями на компы, чтобы по инету лазить.

Спасибо всем, а особенно artem_, действительно в Керио тоже решение задачи оказалось в создании групп пользователей, а затем описание правил для каждой из групп.
Тему можно закрывать, вопрос решен:)

U WELLCOME :)

Подскажите возможно ли прикрутить что нибудь к керио чтобы он определял пользователя по акаунту в AD???

milligan, аутентификация по учётке в AD есть в TMeter (www.tmeter.ru).

milligan, http://kerio-rus.ru/index.php?option=com_content&task=view&id=12&Itemid=26