Доменная авторизация на прокси за NAT - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)

- - Доменная авторизация на прокси за NAT (http://forum.oszone.net/showthread.php?t=206772)

Доменная авторизация на прокси за NAT

Добрый день. Может быть кому-то мой вопрос покажется "очевидным", но я сам с прокси-серверами работал мало, так что прошу Вашей помощи.

"Снаружи" маршрутизатора локальной сети установлен прокси-сервер Squid3, а внутри сети поднят домен (win 2000 server). Понятно, что прокси-сервер до контроллера домена через NAT достучаться не сможет. Проброс порта на маршрутизаторе делать нежелательно, а подключить прокси-сервер к локальной сети нельзя по причинам "организационно-технического характера"
Можно ли в такой ситуации настроить автоматическую авторизацию на прокси по доменным паролям?

El Scorpio,
скорее всего вы имеете в виду аутентификацию. Аутентификация в SQUID под доменными учетными записями возможна. Есть 3 различных варианта:
1. Kerberos
2. SAMBA+ Kreberos
3. LDAP

LDAP самый простой.

Код аутентификации

Код:

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -D "cn=user,cn=Users,dc=domen,dc=local" -W путькфайлуспаролем -b "ou=organization unit,dc=domen,dc=local" -f "sAMAccountName=%s" -h хостконтроллерадомена

Код вызова хелпера, который ищет соответствие пользователя группе

Код:

external_acl_type       ldap_group      ttl=180 children=20     protocol=3.0    %LOGIN  /usr/local/libexec/squid/squid_ldap_group -d -b ou=OrganizationUnit,dc=domen,dc=local -f "(&(cn=%g)(member=%u)(objectClass=group))" -F "sAMAccountName=%s" -D cn=user,cn=Users,dc=domen,dc=local -W файлспаролем -h хостконтроллерадомена -v 3 -p 389

P.S.: Если интересно что вас ждет с Kerberos, то можете почитать -> http://forum.oszone.net/thread-182224.html

Цитата:

Цитата Negativ

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -D "cn=user,cn=Users,dc=domen,dc=local" -W путькфайлуспаролем -b "ou=organization unit,dc=domen,dc=local" -f "sAMAccountName=%s" -h хостконтроллерадомена »

"хостконтроллерадомена" - это имя или IP сервера? То есть, для проверки паролей пользователей прокси будет контроллер домена запрашивать?

Повторяю вводную: прокси-сервер до контроллера домена через NAT достучаться не сможет.

Прошу товарищей разъяснить несколько моментов
1. Если компьютер находится в домене, то при использовании прокси-сервера все программы автоматически сначала пытаются подключиться по указанному адресу с логином и паролем пользователя?
2. Поскольку прокси-сервер через NAT обратиться к контроллеру домена не может, можно ли как-нибудь воспроизвести эту проверку по списку заранее сохранённых паролей?

В общем, задача такая - избежать постоянно всплывающих запросов на ввод пароля для пользователей домена.

правильно ли я понимаю, что некий маршрутизатор натит на сквид?
вопрос 2: сквид это хттп/фтп прокси, то, что на него мы натим ничего не даёт, а маршрутизаторы не имеют функций каскадной (да и не каскадной) прокси.
вопрос: как именно у вас организованно?

Структура такая:
1. Основная локальная сеть (192,168,1,x)
2. Шайтан-машина, изготовленная по новейшим откатно-распилочным нанотехнологиям, в роли шлюза с NAT.
3. Спутниковый модем с двумя внешними каналами связи (без выхода в интернеты и с выходом в интернеты) и двумя локальными сетями

Шайтан-машина своим внешним портом подключена к тому порту модема, который соответствует каналу связи без выхода в интернет. И в целом интернета в основной сети вообще быть не должно. Однако сейчас появилась служебная необходимость для определённых сотрудников обеспечить доступ определённым программам к определённым сайтам.
Суть в заключается в том, что этот модем позволяет обмениваться информацией между локальными сетями. Таким образом, я подключил прокси-сервер к другому порту (сеть с выходом в интернет), разрешил доступ к его IP на шайтан-машине и прописал его на нужных компьютерах, и в результате обеспечил нужным пользователям доступ к нужным ресурсам Сети. Компьютеры из локальной сети через NAT обращаются к прокси, а прокси уже отправляет их через модем в канал с доступом к интернету. При этом любые запросы, которые теоретически могут быть выполнены без прокси сервера, по принципам обычной маршрутизации уйдут в тот канал, который выхода в интернеты не имеет, и сгинут там без следа...

В принципе, можно было бы ограничиться использованием обычных паролей. Вот только тогда программы будут периодически этот пароль запрашивать, а постоянные запросы - нервировать юзверей. Даже если будет стоять галочка "запомнить пароль". К тому же они могут случайно что-нибудь нажать и этот пароль стереть, а это для них - катастрофа...
Так что хочется ещё более автоматизировать процесс авторизации пользователей - так, чтобы вообще пароля не запрашивало.

P.S.
Да, знаю, что схема сложная, что технически проще и правильнее было бы подключить прокси одним портом напрямую к локальной сети, а другим - к интернету. Однако с точки зрения организационно-бюрократических моментов мне лучше "прикрыться" от всех претензий шайтан-машиной, чем убеждать своё начальство и возможных проверяющих в надёжности классово-правильного линукса...