The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"UNIX шлюз + домен Windows"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"UNIX шлюз + домен Windows"  
Сообщение от kambi on 11-Мрт-08, 14:46 
Привет всем.

Года полтора назад немного освоил FreeBSD 6.0 (смог наладить связку ipfw (natd + traffic shaping) + squid (как прозрачный прокси) + ipa (подсчет трафика)). Хорошая была связка!
Потом это дело оставил...
Теперь у меня стоит небольшой домен ActiveDirectory на Windows2003.
До сих пор стоял UserGate в качестве инртернет шлюза (прокси+НАТ). Пробовал WinRoute, TrafficInspector, TMeter. Но все это не то.  
Теперь у меня появилась задача авторизации инет пользователей по их доменнм учетным записям.
Захотелось вернуться снова на FreeBSD в качестве инет шлюза. Но не знаю как организовать авторизацию доменных ползователей. В той связке (см. выше), что я настраивал в свое время на FreeBSD авторизация была по IP (ну еще можно было + MAC). В squid вроде можно авторизовать доменных пользователей, но мне надо чтобы пользователь мог ходить под своей учетной записью и через НАТ. А squid вообще хочется использовать прозрачно.

Надо чтобы человек авторизовавшись на своем компе (в домене) автоматически становился авторизованным на инет-шлюзе. Без привязки к IP и/или МАС.

Какую связку сервисов/приложений вы мне посоветуете на FreeBSD? У кого что работает?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "UNIX шлюз + домен Windows"  
Сообщение от Xela email(ok) on 12-Мрт-08, 13:14 
Прозрачный прокси и авторизация работать не будут. Если же не использовать прозрачный прокси, то авторизация в домене делается довольно просто.

http://squid.opennet.ru/FAQ/my/FAQrus-23.html начиная с пункта 23.5

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "UNIX шлюз + домен Windows"  
Сообщение от Kirill (??) on 12-Мрт-08, 14:20 
М.б. как-то так?
https://www.opennet.ru/base/net/socks_nt_auth.txt.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "UNIX шлюз + домен Windows"  
Сообщение от kambi on 15-Мрт-08, 15:33 
>Прозрачный прокси и авторизация работать не будут. Если же не использовать прозрачный >прокси, то авторизация в домене делается довольно просто.
>http://squid.opennet.ru/FAQ/my/FAQrus-23.html начиная с пункта 23.5

------------------------------------------------------------------
>М.б. как-то так?
>https://www.opennet.ru/base/net/socks_nt_auth.txt.html

Я вообще не хотел связывать авторизацию пользователей с прокси, да и наличие прокси будет для клиентских машин не заметно (прозрачный прокси).

Я думаю в моей задаче не обойтись без решения, в котором на пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate и др.). Например, на шлюзе работает программа (демон),а на клиентских компах клиентский агент, который при авторизации доменного клиента на локальной машине сообщает об этом серверной программе, которая в свою очередь открывает доступ в интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда пользователь выполняет logoff на том компьютере, агент и об этом сообщает серверу и этому компьютеру закрывается доступ. А агент можно было бы легко групповыми политиками раскать на компьютеры пользователей.

Нет ли подобного решения?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "UNIX шлюз + домен Windows"  
Сообщение от Virtual email(??) on 20-Мрт-08, 02:19 
>[оверквотинг удален]
>пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate
>и др.). Например, на шлюзе работает программа (демон),а на клиентских компах
>клиентский агент, который при авторизации доменного клиента на локальной машине сообщает
>об этом серверной программе, которая в свою очередь открывает доступ в
>интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда
>пользователь выполняет logoff на том компьютере, агент и об этом сообщает
>серверу и этому компьютеру закрывается доступ. А агент можно было бы
>легко групповыми политиками раскать на компьютеры пользователей.
>
>Нет ли подобного решения?

попробуй вот это SmbGate
https://sourceforge.net/projects/smbgate/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "UNIX шлюз + домен Windows"  
Сообщение от KobaLTD on 20-Мрт-08, 14:21 
>[оверквотинг удален]
>пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate
>и др.). Например, на шлюзе работает программа (демон),а на клиентских компах
>клиентский агент, который при авторизации доменного клиента на локальной машине сообщает
>об этом серверной программе, которая в свою очередь открывает доступ в
>интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда
>пользователь выполняет logoff на том компьютере, агент и об этом сообщает
>серверу и этому компьютеру закрывается доступ. А агент можно было бы
>легко групповыми политиками раскать на компьютеры пользователей.
>
>Нет ли подобного решения?

Зачем изобретать велосипед - подымай у себя впн сервер, авторизация через радиус сервер, в ад настрой радиус (стандартный в дистрибутиве) чтобы авторизовал через ад. У клиента автоматически подымай впн конект стандартный маздаевский с авторизацией по учетке, так же в ад какждому юзверю ip (уникальный) и все, а далее разрешай запрещай считай все как у тебя и было через ip. Такое есть и работает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "UNIX шлюз + домен Windows"  
Сообщение от dz email(ok) on 20-Мрт-08, 19:40 
>>[оверквотинг удален]
>Зачем изобретать велосипед - подымай у себя впн сервер, авторизация через радиус
>сервер, в ад настрой радиус (стандартный в дистрибутиве) чтобы авторизовал через
>ад. У клиента автоматически подымай впн конект стандартный маздаевский с авторизацией
>по учетке, так же в ад какждому юзверю ip (уникальный) и
>все, а далее разрешай запрещай считай все как у тебя и
>было через ip. Такое есть и работает.

все верно. на бсд поднимаем poptop
в ppp.conf
set radius /etc/ppp/radius.conf

в radius.conf
auth 192.168.10.10:1812 passwd
acct 192.168.10.10:1813 passwd

в АД поднимаем штатный Радиус. У пользователя даем права на группу доступа (ppp.linkup правила для групп и разрешеные порты), и право дозвона.
все работает уже 3-й год :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру