Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по FreeBSD (http://forum.oszone.net/forumdisplay.php?f=10)
-   -   squid+AD (http://forum.oszone.net/showthread.php?t=170630)

EndErr 19-03-2010 11:59 1372240
squid+AD
 
Помогиде приучить сквид работать с АД!
Сеть с win2k3 AD, на выходе FreeBSD+PF в качестве рутера и настроен прокси сквид (transparent).
Нужно сделать так чтоб юзери могли выйти в инет через прокси не введя пароля дважды (1-й при входе в систему, АД аутентификация; 2-й при выходе в инет). Выход в интернет ограничен по пользователями и часами.

WhitePangolin 19-03-2010 12:48 1372282
Интересно... авторизация на прозрачном прокси? Это же в принципе невозможно. Разве нет?

dmitryst 19-03-2010 13:07 1372306
WhitePangolin, ну так прозрачный от непрозрачного отличается тем, что прозрачный сам себе заворачивает пакеты, идущие на 80,81,88,3128 и пр. порты. Непрозрачный надо вручную указать в настройках браузера. Разве нет? :)

EndErr, вот, вроде (хотя я сам не проверял, у меня деление по IP, а его менять юзерам запрещено)

WhitePangolin 19-03-2010 13:58 1372354
второй
Цитата:
Цитата dmitryst
WhitePangolin, ну так прозрачный от непрозрачного отличается тем, что прозрачный сам себе заворачивает пакеты, идущие на 80,81,88,3128 и пр. порты. Непрозрачный надо вручную указать в настройках браузера. Разве нет? »
Так точно. Но раз он заворачивает абсолютно "прозрачно" для пользователя, то каким образом раелизовать авторизацию? Насколько я понимаю это нереально :)

Хотя в принципе есть вариант повесить 2 сквида. Один прозрачный, а второй на 3128 с авторизацией в аду. Хотя это абсолютно бессмысленно так как достаточно юзеру принести свой ноут, прописатть ип (при необходимости и мак) адрес машины которой разрешено ходить через прозрачный и качать порно гигами.

dmitryst 19-03-2010 14:25 1372375
Цитата:
Цитата WhitePangolin
Но раз он заворачивает абсолютно "прозрачно" для пользователя, то каким образом раелизовать авторизацию? Насколько я понимаю это нереально »
ну вот попрется такой юзер в интернет, а ему вылезет окошко с запросом авторизации :). Что нереального?

Цитата:
Цитата WhitePangolin
достаточно юзеру принести свой ноут, прописатть ип адрес машины которой разрешено ходить через прозрачный »
а кто ему скажет, какой ип подойдет?
ПыСы. Я так чувствую, придется городить виртуальную сеть и тестировать..

WhitePangolin 19-03-2010 14:33 1372380
Цитата:
Цитата dmitryst
ну вот попрется такой юзер в интернет, а ему вылезет окошко с запросом авторизации . Что нереального? »
Ладно, поступим проще.

dmitryst 19-03-2010 15:18 1372418
WhitePangolin, может, и так.. Хотя, опять же, пока сам не увижу - не поверю :)

EndErr 22-03-2010 10:03 1374285
Ограничивание по ип я делал, но проблема в том что некоторые компы общие и на них работают юзера р разным допуском в инет.
Это подойдет, есть еще это но не думаю что прокса должна быть в домене, не хочется грузить систему так как комп не екстра, пусть она сама по себе будет и выполняет свою работу. Или я не прав?

gf100 22-03-2010 13:46 1374434
EndErr, зачем нужен именно прозрачный прокси? Чтобы не прописывать настройки? Если только для этого, то можно настроить автоопределение прокси. Это делается на сервере DNS посредством WPAD.

EndErr 22-03-2010 14:12 1374465
Прозрачность не обязательна, это так тока для удобства. Проблема тока в аутентификации пользователей в АД но без добавления прокса в ад. Просто я не хотел нагружать прокси еще с самбой. А если будут изменения в структуре сети то и проксу нужно будет перевести на новые настройки. А может скриптом прочитать пользователей из домена и впихнуть их в нужные acl файлы с правами допуска?

WhitePangolin 22-03-2010 14:25 1374473
Попробую объяснить основные моменты.
Цитата:
Цитата EndErr
Помогиде приучить сквид работать с АД!
Сеть с win2k3 AD, на выходе FreeBSD+PF в качестве рутера и настроен прокси сквид (transparent).
Нужно сделать так чтоб юзери могли выйти в инет через прокси не введя пароля дважды (1-й при входе в систему, АД аутентификация; 2-й при выходе в инет). »
1.1. прозрачный прокси не поддерживает авторизацию;
1.2. из пункта 1.1. следует что организовать ntlm аутентификацию (т.е. "сделать так чтоб юзери могли выйти в инет через прокси не введя пароля дважды") на прозрачном проксе нельзя;
1.3. из пункта 2.1. следует что приучить прозрачный сквид работать с адом нельзя.

Цитата:
Цитата EndErr
Ограничивание по ип я делал, но проблема в том что некоторые компы общие и на них работают юзера р разным допуском в инет.
Это подойдет, есть еще это но не думаю что прокса должна быть в домене, не хочется грузить систему так как комп не екстра, пусть она сама по себе будет и выполняет свою работу. Или я не прав?
»
2.1. Чтобы на компьютерах работало разграничение по допуску необходима авторизация. Далее смотри пункт 1.1.

Цитата:
Цитата EndErr
Прозрачность не обязательна, это так тока для удобства. »
ну вот... другое дело :)

Код:
proxy# sysctl hw.model
hw.model: Intel(R) Celeron(R) CPU          430  @ 1.80GHz
proxy# sysctl hw.physmem
hw.physmem: 2132656128
обслуживает около 200 пользователей. на машине висят imap, pop, smtp, ftp
Код:
last pid: 29866;  load averages:  0.10,  0.06,  0.01                                                                                up 1+23:52:41  14:43:54
650 processes: 2 running, 648 sleeping
CPU states:  0.4% user,  0.0% nice,  0.0% system,  0.0% interrupt, 99.6% idle
Mem: 473M Active, 1219M Inact, 235M Wired, 62M Cache, 112M Buf, 9544K Free
Swap: 2048M Total, 2048M Free
короче нагрузка минимальна

EndErr 22-03-2010 16:28 1374567
Цитата:
Цитата WhitePangolin
нагрузка минимальна »
а авторизация из ада или как?

WhitePangolin 22-03-2010 16:29 1374568
Так точно. Из ада.


Время: 22:15.

Время: 22:15.
© OSzone.net 2001-