форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Маршрутизация, NAT)
Изначальное сообщение		[ Отслеживать ]

"NAT'ить после авторизации в домене Windows"	+/–
Сообщение от MiF (ok) on 27-Апр-11, 13:25
Приветствую. Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются при входе в систему, а роутер должен их узнавать по этой аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик это уже отдельная тема). Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось бы. Может есть что-то приближенное по функциональности к поставленной задаче? Все что мне удалось найти это доменная авторизация в Squid, а хотелось бы просто открывать или закрывать доступ к NAT'у.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "NAT'ить после авторизации в домене Windows"	+/–
Сообщение от Golub Mikhail (ok) on 27-Апр-11, 14:40
> Приветствую. > Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил > пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются > при входе в систему, а роутер должен их узнавать по этой > аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик > это уже отдельная тема). > Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось > бы. Может есть что-то приближенное по функциональности к поставленной задаче? > Все что мне удалось найти это доменная авторизация в Squid, а хотелось > бы просто открывать или закрывать доступ к NAT'у. Задавался такой целью ... Вариант номер один - radius. Но не совсем прозрачно получится. Пользователь должен будет пройти авторизацию на радиусе, введя логин и пароль. Не совсем удобно. Да и потом в кеше будет IP ПК пользователя. Второй вариант. Делать свою программку, которая будет работать на ПК юзера в фоне (сервис, приложение) и при запросах к ней отвечать, кто работает за ПК (что-то типа ident). Плюс - пользователь не участвует в процессе идентификации. Минусы в обоих вариантах - как быть в случае выхода в Интернет с терминального сервера нескольких пользователей с одного IP? И пока других вариантов не придумал.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "NAT'ить после авторизации в домене Windows"	+/–
	Сообщение от MiF (??) on 27-Апр-11, 18:11
	Не понял зачем радиус, впрочем как и некая программка. Мы же пользователей в AD авторизуем. Дергаем оттуда инфу, вот тебе и данные кто за компом, по ним и считаем. Просто с виндами почти не работал никогда, решил спросить как народ делает по умному :) Организация маленькая, в крайнем случае просто VPN настрою на доменную авторизацию, тогда проблемы вообще все решаться. Хотя это не так красиво как прозрачный пропуск во внешнюю сеть, но с контролем доступа.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "NAT'ить после авторизации в домене Windows"	+/–
	Сообщение от ImPressed (ok) on 27-Апр-11, 20:47
	> Не понял зачем радиус, впрочем как и некая программка. > Мы же пользователей в AD авторизуем. Дергаем оттуда инфу, вот тебе и > данные кто за компом, по ним и считаем. Просто с виндами > почти не работал никогда, решил спросить как народ делает по умному > :) > Организация маленькая, в крайнем случае просто VPN настрою на доменную авторизацию, тогда > проблемы вообще все решаться. Хотя это не так красиво как прозрачный > пропуск во внешнюю сеть, но с контролем доступа. Как вариант предлагаю - сделать proxy с авторизацией и поставить его на выходе из сети, и на него завернуть все коннекты по HTTP/HTTPS. Это за одно и торренты обрубит со скайпом. Благо к сквиду ntlm-авторизация на счет три прикручивается.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "NAT'ить после авторизации в домене Windows"	+/–
	Сообщение от sHaggY_caT (ok) on 28-Апр-11, 20:41
	> Как вариант предлагаю - сделать proxy с авторизацией и поставить его на > выходе из сети, и на него завернуть все коннекты по HTTP/HTTPS. > Благо к сквиду ntlm-авторизация на счет три прикручивается. В Squid, для прозрачного прокси, нельзя использовать NTLM
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	9. "NAT'ить после авторизации в домене Windows"	+/–
	Сообщение от Aquarius (ok) on 02-Май-11, 12:21
	>> Как вариант предлагаю - сделать proxy с авторизацией и поставить его на >> выходе из сети, и на него завернуть все коннекты по HTTP/HTTPS. >> Благо к сквиду ntlm-авторизация на счет три прикручивается. > В Squid, для прозрачного прокси, нельзя использовать NTLM ну, на самом деле, можно, просто это создает неприятные побочные эффекты
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "NAT'ить после авторизации в домене Windows"	+/–
Сообщение от mmm (??) on 29-Апр-11, 12:25
> Приветствую. > Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил > пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются > при входе в систему, а роутер должен их узнавать по этой > аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик > это уже отдельная тема). > Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось > бы. Может есть что-то приближенное по функциональности к поставленной задаче? > Все что мне удалось найти это доменная авторизация в Squid, а хотелось > бы просто открывать или закрывать доступ к NAT'у. Вы не поняли что спросили: НАТ - трансляция адресов, т.е. никак не связана с именем пользователя. Я бы сделал так: поставил нат разрешил натить только определенный диапазон адресов (скажем первые 60 адресов, сервера + vip пользователи) поднял squid+sams+ntln\ldap+... что еще Вам тут надо (можно просто squid + ntlm авторизацию, но в самс так красиво и просто, а если еще rejik там белые-черные списки + много чего еще) И все. Т.о.: Vip и сервера (в том числе squid) ходят в инет напрямую, остальные через squid который берет все из АД.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "NAT'ить после авторизации в домене Windows"	+/–
	Сообщение от Golub Mikhail (ok) on 29-Апр-11, 17:45
	>[оверквотинг удален] > связана с именем пользователя. Я бы сделал так: > поставил нат > разрешил натить только определенный диапазон адресов (скажем первые 60 адресов, сервера > + vip пользователи) > поднял squid+sams+ntln\ldap+... что еще Вам тут надо (можно просто squid + ntlm > авторизацию, но в самс так красиво и просто, а если еще > rejik там белые-черные списки + много чего еще) > И все. > Т.о.: Vip и сервера (в том числе squid) ходят в инет напрямую, > остальные через squid который берет все из АД. Все правильно спросили. Да, "НАТ - трансляция адресов". На ASA делается аутентификация через radius (это к вопросу к чему радиус) и потом выход через NAT. Не пробовал, но думаю, что реализуемо и на iptables, только вот не уверен, что получится прозрачно без ввода пароля ... И в случае с терминальными серверами - как делить не понятно.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "NAT'ить после авторизации в домене Windows"	+/–
Сообщение от lamer2k600 on 01-Май-11, 04:04
> Приветствую. > Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил > пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются > при входе в систему, а роутер должен их узнавать по этой > аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик > это уже отдельная тема). > Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось > бы. Может есть что-то приближенное по функциональности к поставленной задаче? > Все что мне удалось найти это доменная авторизация в Squid, а хотелось > бы просто открывать или закрывать доступ к NAT'у. а можно поинтерсоваться зачем это все (именно NAT после логина в AD) ? думаю единственным решением (если я правильно понял намеряния) тут будет прозрачный вебпрокси добавленный в ваш домен и поддерживающий single sign-on. Такое решение к сожалению будет стоить весьма не малых бабок и даже учитывая это будет далеко не идиальным. Я такое поднимал на IronPort S160 + asa 5520. Думаю BlueCoat тоже справится с такими задачами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "NAT'ить после авторизации в домене Windows"	+/–
	Сообщение от Аноним (??) on 02-Май-11, 03:04
	> Такое решение к сожалению будет стоить весьма не малых бабок и даже > учитывая это будет далеко не идиальным. Я такое поднимал на IronPort > S160 + asa 5520. Думаю BlueCoat тоже справится с такими задачами. 1) Вот потому ты и lamer! Такое решение делается за бесплатно на OSS ... Гугли про сквид ивсё всё всё ... 2) Напуркуа IronPort ????
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "NAT'ить после авторизации в домене Windows"	+/–
	Сообщение от lamer2k600 on 02-Май-11, 16:23
	>> Такое решение к сожалению будет стоить весьма не малых бабок и даже >> учитывая это будет далеко не идиальным. Я такое поднимал на IronPort >> S160 + asa 5520. Думаю BlueCoat тоже справится с такими задачами. > 1) Вот потому ты и lamer! Такое решение делается за бесплатно на > OSS ... Гугли про сквид ивсё всё всё ... да ? а сквид уже стал поддерживать Single Sign On в прозрачном режиме ? Может ты сам бы погуглил ? > 2) Напуркуа IronPort ???? потому что на сегодняшний день существует всего два солидных решения - BlueCoat и IronPort. Все остальное это фуфло.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема