Помогиде приучить сквид работать с АД!
Сеть с win2k3 AD, на выходе FreeBSD+PF в качестве рутера и настроен прокси сквид (transparent).
Нужно сделать так чтоб юзери могли выйти в инет через прокси не введя пароля дважды (1-й при входе в систему, АД аутентификация; 2-й при выходе в инет). Выход в интернет ограничен по пользователями и часами.

Интересно... авторизация на прозрачном прокси? Это же в принципе невозможно. Разве нет?

WhitePangolin, ну так прозрачный от непрозрачного отличается тем, что прозрачный сам себе заворачивает пакеты, идущие на 80,81,88,3128 и пр. порты. Непрозрачный надо вручную указать в настройках браузера. Разве нет? :)

EndErr, вот, вроде (http://www.lissyara.su/articles/freebsd/programms/squid+ad/) (хотя я сам не проверял, у меня деление по IP, а его менять юзерам запрещено)

второйWhitePangolin, ну так прозрачный от непрозрачного отличается тем, что прозрачный сам себе заворачивает пакеты, идущие на 80,81,88,3128 и пр. порты. Непрозрачный надо вручную указать в настройках браузера. Разве нет? »
Так точно. Но раз он заворачивает абсолютно "прозрачно" для пользователя, то каким образом раелизовать авторизацию? Насколько я понимаю это нереально :)

Хотя в принципе есть вариант повесить 2 сквида. Один прозрачный, а второй на 3128 с авторизацией в аду. Хотя это абсолютно бессмысленно так как достаточно юзеру принести свой ноут, прописатть ип (при необходимости и мак) адрес машины которой разрешено ходить через прозрачный и качать порно гигами.

Но раз он заворачивает абсолютно "прозрачно" для пользователя, то каким образом раелизовать авторизацию? Насколько я понимаю это нереально »
ну вот попрется такой юзер в интернет, а ему вылезет окошко с запросом авторизации :). Что нереального?

достаточно юзеру принести свой ноут, прописатть ип адрес машины которой разрешено ходить через прозрачный »
а кто ему скажет, какой ип подойдет?
ПыСы. Я так чувствую, придется городить виртуальную сеть и тестировать..

ну вот попрется такой юзер в интернет, а ему вылезет окошко с запросом авторизации . Что нереального? »
Ладно, поступим проще (http://ru.wikipedia.org/wiki/Squid#.D0.A0.D0.B5.D0.B6.D0.B8.D0.BC_.D0.BF.D1.80.D0.BE.D0.B7.D1.80.D0.B0.D1.87.D0.BD.D0.BE.D0.B3.D0 .BE_.D0.BF.D1.80.D0.BE.D0.BA.D1.81.D0.B8-.D1.81.D0.B5.D1.80.D0.B2.D0.B5.D1.80.D0.B0).

WhitePangolin, может, и так.. Хотя, опять же, пока сам не увижу - не поверю :)

Ограничивание по ип я делал, но проблема в том что некоторые компы общие и на них работают юзера р разным допуском в инет.
Это (http://www.lissyara.su/articles/freebsd/programms/squid+ad/) подойдет, есть еще это (http://www.sys-adm.org.ua/www/squid-ad.php) но не думаю что прокса должна быть в домене, не хочется грузить систему так как комп не екстра, пусть она сама по себе будет и выполняет свою работу. Или я не прав?

EndErr, зачем нужен именно прозрачный прокси? Чтобы не прописывать настройки? Если только для этого, то можно настроить автоопределение прокси. Это делается на сервере DNS посредством WPAD (www.freeproxy.ru/ru/free_proxy/faq/wpad.htm).

Прозрачность не обязательна, это так тока для удобства. Проблема тока в аутентификации пользователей в АД но без добавления прокса в ад. Просто я не хотел нагружать прокси еще с самбой. А если будут изменения в структуре сети то и проксу нужно будет перевести на новые настройки. А может скриптом прочитать пользователей из домена и впихнуть их в нужные acl файлы с правами допуска?

Попробую объяснить основные моменты.
Помогиде приучить сквид работать с АД!
Сеть с win2k3 AD, на выходе FreeBSD+PF в качестве рутера и настроен прокси сквид (transparent).
Нужно сделать так чтоб юзери могли выйти в инет через прокси не введя пароля дважды (1-й при входе в систему, АД аутентификация; 2-й при выходе в инет). »
1.1. прозрачный прокси не поддерживает авторизацию;
1.2. из пункта 1.1. следует что организовать ntlm аутентификацию (т.е. "сделать так чтоб юзери могли выйти в инет через прокси не введя пароля дважды") на прозрачном проксе нельзя;
1.3. из пункта 2.1. следует что приучить прозрачный сквид работать с адом нельзя.


Ограничивание по ип я делал, но проблема в том что некоторые компы общие и на них работают юзера р разным допуском в инет.
Это подойдет, есть еще это но не думаю что прокса должна быть в домене, не хочется грузить систему так как комп не екстра, пусть она сама по себе будет и выполняет свою работу. Или я не прав?
»
2.1. Чтобы на компьютерах работало разграничение по допуску необходима авторизация. Далее смотри пункт 1.1.

Прозрачность не обязательна, это так тока для удобства. »
ну вот... другое дело :)


proxy# sysctl hw.model
hw.model: Intel(R) Celeron(R) CPU 430 @ 1.80GHz
proxy# sysctl hw.physmem
hw.physmem: 2132656128

обслуживает около 200 пользователей. на машине висят imap, pop, smtp, ftp

last pid: 29866; load averages: 0.10, 0.06, 0.01 up 1+23:52:41 14:43:54
650 processes: 2 running, 648 sleeping
CPU states: 0.4% user, 0.0% nice, 0.0% system, 0.0% interrupt, 99.6% idle
Mem: 473M Active, 1219M Inact, 235M Wired, 62M Cache, 112M Buf, 9544K Free
Swap: 2048M Total, 2048M Free

короче нагрузка минимальна

нагрузка минимальна »
а авторизация из ада или как?

Так точно. Из ада.