Показать полную графическую версию : squid+AD
Помогиде приучить сквид работать с АД!
Сеть с win2k3 AD, на выходе FreeBSD+PF в качестве рутера и настроен прокси сквид (transparent).
Нужно сделать так чтоб юзери могли выйти в инет через прокси не введя пароля дважды (1-й при входе в систему, АД аутентификация; 2-й при выходе в инет). Выход в интернет ограничен по пользователями и часами.
WhitePangolin
19-03-2010, 12:48
Интересно... авторизация на прозрачном прокси? Это же в принципе невозможно. Разве нет?
dmitryst
19-03-2010, 13:07
WhitePangolin, ну так прозрачный от непрозрачного отличается тем, что прозрачный сам себе заворачивает пакеты, идущие на 80,81,88,3128 и пр. порты. Непрозрачный надо вручную указать в настройках браузера. Разве нет? :)
EndErr, вот, вроде (http://www.lissyara.su/articles/freebsd/programms/squid+ad/) (хотя я сам не проверял, у меня деление по IP, а его менять юзерам запрещено)
WhitePangolin
19-03-2010, 13:58
второйWhitePangolin, ну так прозрачный от непрозрачного отличается тем, что прозрачный сам себе заворачивает пакеты, идущие на 80,81,88,3128 и пр. порты. Непрозрачный надо вручную указать в настройках браузера. Разве нет? »
Так точно. Но раз он заворачивает абсолютно "прозрачно" для пользователя, то каким образом раелизовать авторизацию? Насколько я понимаю это нереально :)
Хотя в принципе есть вариант повесить 2 сквида. Один прозрачный, а второй на 3128 с авторизацией в аду. Хотя это абсолютно бессмысленно так как достаточно юзеру принести свой ноут, прописатть ип (при необходимости и мак) адрес машины которой разрешено ходить через прозрачный и качать порно гигами.
dmitryst
19-03-2010, 14:25
Но раз он заворачивает абсолютно "прозрачно" для пользователя, то каким образом раелизовать авторизацию? Насколько я понимаю это нереально »
ну вот попрется такой юзер в интернет, а ему вылезет окошко с запросом авторизации :). Что нереального?
достаточно юзеру принести свой ноут, прописатть ип адрес машины которой разрешено ходить через прозрачный »
а кто ему скажет, какой ип подойдет?
ПыСы. Я так чувствую, придется городить виртуальную сеть и тестировать..
WhitePangolin
19-03-2010, 14:33
ну вот попрется такой юзер в интернет, а ему вылезет окошко с запросом авторизации . Что нереального? »
Ладно, поступим проще (http://ru.wikipedia.org/wiki/Squid#.D0.A0.D0.B5.D0.B6.D0.B8.D0.BC_.D0.BF.D1.80.D0.BE.D0.B7.D1.80.D0.B0.D1.87.D0.BD.D0.BE.D0.B3.D0 .BE_.D0.BF.D1.80.D0.BE.D0.BA.D1.81.D0.B8-.D1.81.D0.B5.D1.80.D0.B2.D0.B5.D1.80.D0.B0).
dmitryst
19-03-2010, 15:18
WhitePangolin, может, и так.. Хотя, опять же, пока сам не увижу - не поверю :)
Ограничивание по ип я делал, но проблема в том что некоторые компы общие и на них работают юзера р разным допуском в инет.
Это (http://www.lissyara.su/articles/freebsd/programms/squid+ad/) подойдет, есть еще это (http://www.sys-adm.org.ua/www/squid-ad.php) но не думаю что прокса должна быть в домене, не хочется грузить систему так как комп не екстра, пусть она сама по себе будет и выполняет свою работу. Или я не прав?
EndErr, зачем нужен именно прозрачный прокси? Чтобы не прописывать настройки? Если только для этого, то можно настроить автоопределение прокси. Это делается на сервере DNS посредством WPAD (www.freeproxy.ru/ru/free_proxy/faq/wpad.htm).
Прозрачность не обязательна, это так тока для удобства. Проблема тока в аутентификации пользователей в АД но без добавления прокса в ад. Просто я не хотел нагружать прокси еще с самбой. А если будут изменения в структуре сети то и проксу нужно будет перевести на новые настройки. А может скриптом прочитать пользователей из домена и впихнуть их в нужные acl файлы с правами допуска?
WhitePangolin
22-03-2010, 14:25
Попробую объяснить основные моменты.
Помогиде приучить сквид работать с АД!
Сеть с win2k3 AD, на выходе FreeBSD+PF в качестве рутера и настроен прокси сквид (transparent).
Нужно сделать так чтоб юзери могли выйти в инет через прокси не введя пароля дважды (1-й при входе в систему, АД аутентификация; 2-й при выходе в инет). »
1.1. прозрачный прокси не поддерживает авторизацию;
1.2. из пункта 1.1. следует что организовать ntlm аутентификацию (т.е. "сделать так чтоб юзери могли выйти в инет через прокси не введя пароля дважды") на прозрачном проксе нельзя;
1.3. из пункта 2.1. следует что приучить прозрачный сквид работать с адом нельзя.
Ограничивание по ип я делал, но проблема в том что некоторые компы общие и на них работают юзера р разным допуском в инет.
Это подойдет, есть еще это но не думаю что прокса должна быть в домене, не хочется грузить систему так как комп не екстра, пусть она сама по себе будет и выполняет свою работу. Или я не прав?
»
2.1. Чтобы на компьютерах работало разграничение по допуску необходима авторизация. Далее смотри пункт 1.1.
Прозрачность не обязательна, это так тока для удобства. »
ну вот... другое дело :)
proxy# sysctl hw.model
hw.model: Intel(R) Celeron(R) CPU 430 @ 1.80GHz
proxy# sysctl hw.physmem
hw.physmem: 2132656128
обслуживает около 200 пользователей. на машине висят imap, pop, smtp, ftp
last pid: 29866; load averages: 0.10, 0.06, 0.01 up 1+23:52:41 14:43:54
650 processes: 2 running, 648 sleeping
CPU states: 0.4% user, 0.0% nice, 0.0% system, 0.0% interrupt, 99.6% idle
Mem: 473M Active, 1219M Inact, 235M Wired, 62M Cache, 112M Buf, 9544K Free
Swap: 2048M Total, 2048M Free
короче нагрузка минимальна
нагрузка минимальна »
а авторизация из ада или как?
WhitePangolin
22-03-2010, 16:29
Так точно. Из ада.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.