Proxy/NAT

Negativ · Отправлено: **10:29, 13-05-2011** | #2

El Scorpio,
скорее всего вы имеете в виду аутентификацию. Аутентификация в SQUID под доменными учетными записями возможна. Есть 3 различных варианта:
1. Kerberos
2. SAMBA+ Kreberos
3. LDAP

LDAP самый простой.

Код аутентификации

Код:

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -D "cn=user,cn=Users,dc=domen,dc=local" -W путькфайлуспаролем -b "ou=organization unit,dc=domen,dc=local" -f "sAMAccountName=%s" -h хостконтроллерадомена

Код вызова хелпера, который ищет соответствие пользователя группе

Код:

external_acl_type       ldap_group      ttl=180 children=20     protocol=3.0    %LOGIN  /usr/local/libexec/squid/squid_ldap_group -d -b ou=OrganizationUnit,dc=domen,dc=local -f "(&(cn=%g)(member=%u)(objectClass=group))" -F "sAMAccountName=%s" -D cn=user,cn=Users,dc=domen,dc=local -W файлспаролем -h хостконтроллерадомена -v 3 -p 389

P.S.: Если интересно что вас ждет с Kerberos, то можете почитать -> http://forum.oszone.net/thread-182224.html

El Scorpio · Отправлено: **06:53, 14-05-2011** | #3

Цитата Negativ:

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -D "cn=user,cn=Users,dc=domen,dc=local" -W путькфайлуспаролем -b "ou=organization unit,dc=domen,dc=local" -f "sAMAccountName=%s" -h хостконтроллерадомена »

"хостконтроллерадомена" - это имя или IP сервера? То есть, для проверки паролей пользователей прокси будет контроллер домена запрашивать?

Повторяю вводную: прокси-сервер до контроллера домена через NAT достучаться не сможет.

El Scorpio · Отправлено: **07:07, 20-05-2011** | #4

Прошу товарищей разъяснить несколько моментов
1. Если компьютер находится в домене, то при использовании прокси-сервера все программы автоматически сначала пытаются подключиться по указанному адресу с логином и паролем пользователя?
2. Поскольку прокси-сервер через NAT обратиться к контроллеру домена не может, можно ли как-нибудь воспроизвести эту проверку по списку заранее сохранённых паролей?

В общем, задача такая - избежать постоянно всплывающих запросов на ввод пароля для пользователей домена.

cameron · Конфигурация компьютера

правильно ли я понимаю, что некий маршрутизатор натит на сквид?
вопрос 2: сквид это хттп/фтп прокси, то, что на него мы натим ничего не даёт, а маршрутизаторы не имеют функций каскадной (да и не каскадной) прокси.
вопрос: как именно у вас организованно?

El Scorpio · Отправлено: **16:07, 20-05-2011** | #6

Структура такая:
1. Основная локальная сеть (192,168,1,x)
2. Шайтан-машина, изготовленная по новейшим откатно-распилочным нанотехнологиям, в роли шлюза с NAT.
3. Спутниковый модем с двумя внешними каналами связи (без выхода в интернеты и с выходом в интернеты) и двумя локальными сетями

Шайтан-машина своим внешним портом подключена к тому порту модема, который соответствует каналу связи без выхода в интернет. И в целом интернета в основной сети вообще быть не должно. Однако сейчас появилась служебная необходимость для определённых сотрудников обеспечить доступ определённым программам к определённым сайтам.
Суть в заключается в том, что этот модем позволяет обмениваться информацией между локальными сетями. Таким образом, я подключил прокси-сервер к другому порту (сеть с выходом в интернет), разрешил доступ к его IP на шайтан-машине и прописал его на нужных компьютерах, и в результате обеспечил нужным пользователям доступ к нужным ресурсам Сети. Компьютеры из локальной сети через NAT обращаются к прокси, а прокси уже отправляет их через модем в канал с доступом к интернету. При этом любые запросы, которые теоретически могут быть выполнены без прокси сервера, по принципам обычной маршрутизации уйдут в тот канал, который выхода в интернеты не имеет, и сгинут там без следа...

В принципе, можно было бы ограничиться использованием обычных паролей. Вот только тогда программы будут периодически этот пароль запрашивать, а постоянные запросы - нервировать юзверей. Даже если будет стоять галочка "запомнить пароль". К тому же они могут случайно что-нибудь нажать и этот пароль стереть, а это для них - катастрофа...
Так что хочется ещё более автоматизировать процесс авторизации пользователей - так, чтобы вообще пароля не запрашивало.

P.S.
Да, знаю, что схема сложная, что технически проще и правильнее было бы подключить прокси одним портом напрямую к локальной сети, а другим - к интернету. Однако с точки зрения организационно-бюрократических моментов мне лучше "прикрыться" от всех претензий шайтан-машиной, чем убеждать своё начальство и возможных проверяющих в надёжности классово-правильного линукса...