forum.opennet.ru - "UNIX шлюз + домен Windows" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"UNIX шлюз + домен Windows"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"UNIX шлюз + домен Windows"
Сообщение от kambi on 11-Мрт-08, 14:46
Привет всем. Года полтора назад немного освоил FreeBSD 6.0 (смог наладить связку ipfw (natd + traffic shaping) + squid (как прозрачный прокси) + ipa (подсчет трафика)). Хорошая была связка! Потом это дело оставил... Теперь у меня стоит небольшой домен ActiveDirectory на Windows2003. До сих пор стоял UserGate в качестве инртернет шлюза (прокси+НАТ). Пробовал WinRoute, TrafficInspector, TMeter. Но все это не то. Теперь у меня появилась задача авторизации инет пользователей по их доменнм учетным записям. Захотелось вернуться снова на FreeBSD в качестве инет шлюза. Но не знаю как организовать авторизацию доменных ползователей. В той связке (см. выше), что я настраивал в свое время на FreeBSD авторизация была по IP (ну еще можно было + MAC). В squid вроде можно авторизовать доменных пользователей, но мне надо чтобы пользователь мог ходить под своей учетной записью и через НАТ. А squid вообще хочется использовать прозрачно. Надо чтобы человек авторизовавшись на своем компе (в домене) автоматически становился авторизованным на инет-шлюзе. Без привязки к IP и/или МАС. Какую связку сервисов/приложений вы мне посоветуете на FreeBSD? У кого что работает?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

UNIX шлюз + домен Windows, Xela, 13:14 , 12-Мрт-08, (1)
UNIX шлюз + домен Windows, Kirill, 14:20 , 12-Мрт-08, (2)

UNIX шлюз + домен Windows, kambi, 15:33 , 15-Мрт-08, (3)

UNIX шлюз + домен Windows, Virtual, 02:19 , 20-Мрт-08, (4)
UNIX шлюз + домен Windows, KobaLTD, 14:21 , 20-Мрт-08, (5)

UNIX шлюз + домен Windows, dz, 19:40 , 20-Мрт-08, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "UNIX шлюз + домен Windows"

Сообщение от Xela (ok) on 12-Мрт-08, 13:14

Прозрачный прокси и авторизация работать не будут. Если же не использовать прозрачный прокси, то авторизация в домене делается довольно просто.
http://squid.opennet.ru/FAQ/my/FAQrus-23.html начиная с пункта 23.5

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "UNIX шлюз + домен Windows"

Сообщение от Kirill (??) on 12-Мрт-08, 14:20

М.б. как-то так?
https://www.opennet.ru/base/net/socks_nt_auth.txt.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "UNIX шлюз + домен Windows"

Сообщение от kambi on 15-Мрт-08, 15:33

>Прозрачный прокси и авторизация работать не будут. Если же не использовать прозрачный >прокси, то авторизация в домене делается довольно просто.
>http://squid.opennet.ru/FAQ/my/FAQrus-23.html начиная с пункта 23.5
------------------------------------------------------------------
>М.б. как-то так?
>https://www.opennet.ru/base/net/socks_nt_auth.txt.html
Я вообще не хотел связывать авторизацию пользователей с прокси, да и наличие прокси будет для клиентских машин не заметно (прозрачный прокси).
Я думаю в моей задаче не обойтись без решения, в котором на пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate и др.). Например, на шлюзе работает программа (демон),а на клиентских компах клиентский агент, который при авторизации доменного клиента на локальной машине сообщает об этом серверной программе, которая в свою очередь открывает доступ в интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда пользователь выполняет logoff на том компьютере, агент и об этом сообщает серверу и этому компьютеру закрывается доступ. А агент можно было бы легко групповыми политиками раскать на компьютеры пользователей.
Нет ли подобного решения?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "UNIX шлюз + домен Windows"

Сообщение от Virtual (??) on 20-Мрт-08, 02:19

>[оверквотинг удален]
>пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate
>и др.). Например, на шлюзе работает программа (демон),а на клиентских компах
>клиентский агент, который при авторизации доменного клиента на локальной машине сообщает
>об этом серверной программе, которая в свою очередь открывает доступ в
>интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда
>пользователь выполняет logoff на том компьютере, агент и об этом сообщает
>серверу и этому компьютеру закрывается доступ. А агент можно было бы
>легко групповыми политиками раскать на компьютеры пользователей.
>
>Нет ли подобного решения?
попробуй вот это SmbGate
https://sourceforge.net/projects/smbgate/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "UNIX шлюз + домен Windows"

Сообщение от KobaLTD on 20-Мрт-08, 14:21

>[оверквотинг удален]
>пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate
>и др.). Например, на шлюзе работает программа (демон),а на клиентских компах
>клиентский агент, который при авторизации доменного клиента на локальной машине сообщает
>об этом серверной программе, которая в свою очередь открывает доступ в
>интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда
>пользователь выполняет logoff на том компьютере, агент и об этом сообщает
>серверу и этому компьютеру закрывается доступ. А агент можно было бы
>легко групповыми политиками раскать на компьютеры пользователей.
>
>Нет ли подобного решения?
Зачем изобретать велосипед - подымай у себя впн сервер, авторизация через радиус сервер, в ад настрой радиус (стандартный в дистрибутиве) чтобы авторизовал через ад. У клиента автоматически подымай впн конект стандартный маздаевский с авторизацией по учетке, так же в ад какждому юзверю ip (уникальный) и все, а далее разрешай запрещай считай все как у тебя и было через ip. Такое есть и работает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "UNIX шлюз + домен Windows"

Сообщение от dz (ok) on 20-Мрт-08, 19:40

>>[оверквотинг удален]
>Зачем изобретать велосипед - подымай у себя впн сервер, авторизация через радиус
>сервер, в ад настрой радиус (стандартный в дистрибутиве) чтобы авторизовал через
>ад. У клиента автоматически подымай впн конект стандартный маздаевский с авторизацией
>по учетке, так же в ад какждому юзверю ip (уникальный) и
>все, а далее разрешай запрещай считай все как у тебя и
>было через ip. Такое есть и работает.
все верно. на бсд поднимаем poptop
в ppp.conf
set radius /etc/ppp/radius.conf
в radius.conf
auth 192.168.10.10:1812 passwd
acct 192.168.10.10:1813 passwd
в АД поднимаем штатный Радиус. У пользователя даем права на группу доступа (ppp.linkup правила для групп и разрешеные порты), и право дозвона.
все работает уже 3-й год :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "UNIX шлюз + домен Windows"
Сообщение от Xela (ok) on 12-Мрт-08, 13:14
Прозрачный прокси и авторизация работать не будут. Если же не использовать прозрачный прокси, то авторизация в домене делается довольно просто. http://squid.opennet.ru/FAQ/my/FAQrus-23.html начиная с пункта 23.5
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "UNIX шлюз + домен Windows"
Сообщение от Kirill (??) on 12-Мрт-08, 14:20
М.б. как-то так? https://www.opennet.ru/base/net/socks_nt_auth.txt.html
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "UNIX шлюз + домен Windows"
	Сообщение от kambi on 15-Мрт-08, 15:33
	>Прозрачный прокси и авторизация работать не будут. Если же не использовать прозрачный >прокси, то авторизация в домене делается довольно просто. >http://squid.opennet.ru/FAQ/my/FAQrus-23.html начиная с пункта 23.5 ------------------------------------------------------------------ >М.б. как-то так? >https://www.opennet.ru/base/net/socks_nt_auth.txt.html Я вообще не хотел связывать авторизацию пользователей с прокси, да и наличие прокси будет для клиентских машин не заметно (прозрачный прокси). Я думаю в моей задаче не обойтись без решения, в котором на пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate и др.). Например, на шлюзе работает программа (демон),а на клиентских компах клиентский агент, который при авторизации доменного клиента на локальной машине сообщает об этом серверной программе, которая в свою очередь открывает доступ в интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда пользователь выполняет logoff на том компьютере, агент и об этом сообщает серверу и этому компьютеру закрывается доступ. А агент можно было бы легко групповыми политиками раскать на компьютеры пользователей. Нет ли подобного решения?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "UNIX шлюз + домен Windows"
	Сообщение от Virtual (??) on 20-Мрт-08, 02:19
	>[оверквотинг удален] >пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate >и др.). Например, на шлюзе работает программа (демон),а на клиентских компах >клиентский агент, который при авторизации доменного клиента на локальной машине сообщает >об этом серверной программе, которая в свою очередь открывает доступ в >интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда >пользователь выполняет logoff на том компьютере, агент и об этом сообщает >серверу и этому компьютеру закрывается доступ. А агент можно было бы >легко групповыми политиками раскать на компьютеры пользователей. > >Нет ли подобного решения? попробуй вот это SmbGate https://sourceforge.net/projects/smbgate/
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "UNIX шлюз + домен Windows"
	Сообщение от KobaLTD on 20-Мрт-08, 14:21
	>[оверквотинг удален] >пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate >и др.). Например, на шлюзе работает программа (демон),а на клиентских компах >клиентский агент, который при авторизации доменного клиента на локальной машине сообщает >об этом серверной программе, которая в свою очередь открывает доступ в >интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда >пользователь выполняет logoff на том компьютере, агент и об этом сообщает >серверу и этому компьютеру закрывается доступ. А агент можно было бы >легко групповыми политиками раскать на компьютеры пользователей. > >Нет ли подобного решения? Зачем изобретать велосипед - подымай у себя впн сервер, авторизация через радиус сервер, в ад настрой радиус (стандартный в дистрибутиве) чтобы авторизовал через ад. У клиента автоматически подымай впн конект стандартный маздаевский с авторизацией по учетке, так же в ад какждому юзверю ip (уникальный) и все, а далее разрешай запрещай считай все как у тебя и было через ip. Такое есть и работает.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "UNIX шлюз + домен Windows"
	Сообщение от dz (ok) on 20-Мрт-08, 19:40
	>>[оверквотинг удален] >Зачем изобретать велосипед - подымай у себя впн сервер, авторизация через радиус >сервер, в ад настрой радиус (стандартный в дистрибутиве) чтобы авторизовал через >ад. У клиента автоматически подымай впн конект стандартный маздаевский с авторизацией >по учетке, так же в ад какждому юзверю ip (уникальный) и >все, а далее разрешай запрещай считай все как у тебя и >было через ip. Такое есть и работает. все верно. на бсд поднимаем poptop в ppp.conf set radius /etc/ppp/radius.conf в radius.conf auth 192.168.10.10:1812 passwd acct 192.168.10.10:1813 passwd в АД поднимаем штатный Радиус. У пользователя даем права на группу доступа (ppp.linkup правила для групп и разрешеные порты), и право дозвона. все работает уже 3-й год :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]