Как ограничить доступ пользователей в интернет
 

Мне нужно ограничить доступ пользователей в интернет таким образом:
1. Пользователь должен выходить с компьтера А под паролем А в интернет;
2. С компьтера B выйти в интернет под паролем А - нельзя.
Т.е. должно быть так, чтобы пользователи выходили в интернет под своими паролями только со своих компьтеров.
Сейчас ситуация такая:
1. Есть локальная сеть;
2. Пользователи сети находятся в домене;
3. Есть точка доступа в интенет;
4. На точке доступа есть файрвол, который разрешает доступ в интернет некоторым пользователям домена через прокси;
5. Пользователи выходят в интернет под логином\паролем учетной записи пользователя домена;
6. В данный момент под паролем какого-нибудь пользователя можно выйти в интернет с любого компьютера.

Пользователей много?
Если немного - можно решить проблему тупо в лоб:
На фаерволе прописать правила для каждого пользователя:
с компа xxx.xxx.xxx.xxx разрешать доступ в инет только юзеру 11111
с компа yyy.yyy.yyy.yyy разрешать доступ в инет только юзеру 22222
и т.д.
криво, но работать будет (это про ISA сервер. Не сказано, что у вас за фаервол стоит..)

Xenia,
объясните пожалуйста подробнее как

Xenia,
Если пользователи не бегают с машины на машину, в свойствах учетной записи поставьте "Logon to" и сопоставьте пользователей с компьютерами, на которые им можно логиниться.

Полльзователей 52
Файрвол - Kerio 6-ой
Т.е. получается для каждого пользователя нужно создать такое правило:
?

Не, в этом случае лучше искать другое решение.
Хотя - если не лениво в настройках керио прописать 52 правила - дерзайте ))

Пользователи всегда работают каждый за своим компом? Может, последовать совету monkkey?

Давайте еще уточним: Пароль запрашивается у пользователя формой/окном или берется текущий залогиненный юзер?

Да, пользователи всегда работают каждый за своим компьютером. Но внутри одного отдела доступ к интернету есть не у всех, и те у кого нет доступа иногда используют чужой пароль для выхода в интернет.

HLT, Пароль запрашивается у пользователя окном

monkkey, А можно по подробнее ...Как это сделать?

подобные проблемы легко решаются административными мерами, напр. штрафами за нецелевое использование сети. Сотрудник, однажды лишившийся хотя бы 1000 рублей, уже никогда не даст свой пароль соседу, да и еще запомнит его как отче наш. Также станут поступать и другие. Иначе ситуация придет к тому, что сотрудники опять найдут дыру в системе, а вы ее будете затыкать. Надо просто отбить охоту, и всё.

Проще дать доступ по мак адресам.

Не помню как там в Kerio, уже год как не использую, а в ISA создаешь группу типа INTERNET_USERS и включаешь туда всех, кого нужно т.к. ISA стоит в домене - она даже и не будет спрашивать введите пароль а возьмет учетные данные юзера. Того, у кого нету прав на инет - просто пошлет нафиг. Покапай kerio может там есть какая то проверка подлинности - встроенная или дайджест как у ISA.

Хотя не исключено, что эти безнетовские юзеры начнут логиниться под чужими паролями на компы, чтобы по инету лазить.

Спасибо всем, а особенно artem_, действительно в Керио тоже решение задачи оказалось в создании групп пользователей, а затем описание правил для каждой из групп.
Тему можно закрывать, вопрос решен:)

U WELLCOME :)

Подскажите возможно ли прикрутить что нибудь к керио чтобы он определял пользователя по акаунту в AD???

milligan, аутентификация по учётке в AD есть в TMeter.

milligan, http://kerio-rus.ru/index.php?option...d=12&Itemid=26