forum.opennet.ru - "Browser-Based Authentication Bypass" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Browser-Based Authentication Bypass"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Browser-Based Authentication Bypass"	+/–
Сообщение от Dhm on 08-Ноя-13, 11:07
Добрый день. Есть 2921, хотелось бы фильтровать соц. сети и т.д по юзернейму. Юзеры выходят в инет с терминального сервера, т.е у всех один ip. Думаю авторизовывать через сабж на CiscoSecure ACS, а он спрашивает в AD юзера и привязывает акцесс лист к логину. Может есть путь проще? Спасибо.
Ответить \| Правка \| Cообщить модератору

Оглавление

Browser-Based Authentication Bypass, Dhm, 11:17 , 08-Ноя-13, (1)

Browser-Based Authentication Bypass, Merridius, 16:36 , 08-Ноя-13, (2)

Browser-Based Authentication Bypass, Dhm, 16:56 , 08-Ноя-13, (3)
Browser-Based Authentication Bypass, Dhm, 18:02 , 08-Ноя-13, (7)

Browser-Based Authentication Bypass, ShyLion, 11:25 , 11-Ноя-13, (8)

Browser-Based Authentication Bypass, IZh, 17:06 , 08-Ноя-13, (4)

Browser-Based Authentication Bypass, IZh, 17:15 , 08-Ноя-13, (5)

Browser-Based Authentication Bypass, Dhm, 17:36 , 08-Ноя-13, (6)

Browser-Based Authentication Bypass, ShyLion, 11:27 , 11-Ноя-13, (9)

Browser-Based Authentication Bypass, ShyLion, 11:28 , 11-Ноя-13, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "Browser-Based Authentication Bypass" +/–

Сообщение от Dhm on 08-Ноя-13, 11:17

Уточнение, а она вообще так может или фильтрация только на уровне 3?
И как тогда быть?
Может сквид какой?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Browser-Based Authentication Bypass" +/–

Сообщение от Merridius (ok) on 08-Ноя-13, 16:36

> Уточнение, а она вообще так может или фильтрация только на уровне 3?
> И как тогда быть?
> Может сквид какой?
Я так понял вам нужно вот это Cisco IOS User-Based Firewall
Но можно и wccp+squid

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Browser-Based Authentication Bypass" +/–

Сообщение от Dhm on 08-Ноя-13, 16:56

Ну, нужно фильтровать контент в зависимости от того какой юзер выходит в инет...
Еще и выходят все с одного ип адреса.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Browser-Based Authentication Bypass" +/–

Сообщение от Dhm on 08-Ноя-13, 18:02

>> Уточнение, а она вообще так может или фильтрация только на уровне 3?
>> И как тогда быть?
>> Может сквид какой?
> Я так понял вам нужно вот это Cisco IOS User-Based Firewall
> Но можно и wccp+squid
Да, похоже что Cisco IOS User-Based Firewall то что нужно, спасибо.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Browser-Based Authentication Bypass" +/–

Сообщение от ShyLion (ok) on 11-Ноя-13, 11:25

>>> Уточнение, а она вообще так может или фильтрация только на уровне 3?
>>> И как тогда быть?
>>> Может сквид какой?
>> Я так понял вам нужно вот это Cisco IOS User-Based Firewall
>> Но можно и wccp+squid
> Да, похоже что Cisco IOS User-Based Firewall то что нужно, спасибо.
Cisco IOS User-Based Firewall Support leverages existing authentication and validation methods to associate each source IP address to a user-group.
Один хрен все сводится к пользователь<->IP. В случае терминального сервера только полноценный прокси, типа сквида.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

4. "Browser-Based Authentication Bypass" +/–

Сообщение от IZh (ok) on 08-Ноя-13, 17:06

http://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_ldap/con...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Browser-Based Authentication Bypass" +/–

Сообщение от IZh (ok) on 08-Ноя-13, 17:15

Ах да, у вас же роутер packet-based. Вряд ли заработает для одного айпишника, если только поменять на аса.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Browser-Based Authentication Bypass" +/–

Сообщение от Dhm on 08-Ноя-13, 17:36

Ну да, или делать впн, чего совсем не хочется.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Browser-Based Authentication Bypass" +/–

Сообщение от ShyLion (ok) on 11-Ноя-13, 11:27

> Ну да, или делать впн, чего совсем не хочется.
Впн это тоже 3 уровень. На терминальном сервере не получится разных пользователей через разные ВПН роутить. ИМХО. По крайней мере на винде.
В Linux/BSD вроде есть вариант фильтрации/роутинга на основании GID процесса, но это отдельная песня.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Browser-Based Authentication Bypass" +/–

Сообщение от ShyLion (ok) on 11-Ноя-13, 11:28

> Добрый день.
> Есть 2921, хотелось бы фильтровать соц. сети и т.д по юзернейму.
> Юзеры выходят в инет с терминального сервера, т.е у всех один ip.
> Думаю авторизовывать через сабж на CiscoSecure ACS, а он спрашивает в AD
> юзера и привязывает акцесс лист к логину.
> Может есть путь проще?
> Спасибо.
Как вариант - виртуалку под каждого юзверя, хотя гемор еще тот.
Или пара- тройка виртуальных терминалок, с разными уровнями доступа.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Browser-Based Authentication Bypass"	+/–
Сообщение от Dhm on 08-Ноя-13, 11:17
Уточнение, а она вообще так может или фильтрация только на уровне 3? И как тогда быть? Может сквид какой?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Browser-Based Authentication Bypass"	+/–
	Сообщение от Merridius (ok) on 08-Ноя-13, 16:36
	> Уточнение, а она вообще так может или фильтрация только на уровне 3? > И как тогда быть? > Может сквид какой? Я так понял вам нужно вот это Cisco IOS User-Based Firewall Но можно и wccp+squid
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Browser-Based Authentication Bypass"	+/–
	Сообщение от Dhm on 08-Ноя-13, 16:56
	Ну, нужно фильтровать контент в зависимости от того какой юзер выходит в инет... Еще и выходят все с одного ип адреса.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	7. "Browser-Based Authentication Bypass"	+/–
	Сообщение от Dhm on 08-Ноя-13, 18:02
	>> Уточнение, а она вообще так может или фильтрация только на уровне 3? >> И как тогда быть? >> Может сквид какой? > Я так понял вам нужно вот это Cisco IOS User-Based Firewall > Но можно и wccp+squid Да, похоже что Cisco IOS User-Based Firewall то что нужно, спасибо.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	8. "Browser-Based Authentication Bypass"	+/–
	Сообщение от ShyLion (ok) on 11-Ноя-13, 11:25
	>>> Уточнение, а она вообще так может или фильтрация только на уровне 3? >>> И как тогда быть? >>> Может сквид какой? >> Я так понял вам нужно вот это Cisco IOS User-Based Firewall >> Но можно и wccp+squid > Да, похоже что Cisco IOS User-Based Firewall то что нужно, спасибо. Cisco IOS User-Based Firewall Support leverages existing authentication and validation methods to associate each source IP address to a user-group. Один хрен все сводится к пользователь<->IP. В случае терминального сервера только полноценный прокси, типа сквида.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору

4. "Browser-Based Authentication Bypass"	+/–
Сообщение от IZh (ok) on 08-Ноя-13, 17:06
http://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_ldap/con...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Browser-Based Authentication Bypass"	+/–
	Сообщение от IZh (ok) on 08-Ноя-13, 17:15
	Ах да, у вас же роутер packet-based. Вряд ли заработает для одного айпишника, если только поменять на аса.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Browser-Based Authentication Bypass"	+/–
	Сообщение от Dhm on 08-Ноя-13, 17:36
	Ну да, или делать впн, чего совсем не хочется.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	9. "Browser-Based Authentication Bypass"	+/–
	Сообщение от ShyLion (ok) on 11-Ноя-13, 11:27
	> Ну да, или делать впн, чего совсем не хочется. Впн это тоже 3 уровень. На терминальном сервере не получится разных пользователей через разные ВПН роутить. ИМХО. По крайней мере на винде. В Linux/BSD вроде есть вариант фильтрации/роутинга на основании GID процесса, но это отдельная песня.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору

10. "Browser-Based Authentication Bypass"	+/–
Сообщение от ShyLion (ok) on 11-Ноя-13, 11:28
> Добрый день. > Есть 2921, хотелось бы фильтровать соц. сети и т.д по юзернейму. > Юзеры выходят в инет с терминального сервера, т.е у всех один ip. > Думаю авторизовывать через сабж на CiscoSecure ACS, а он спрашивает в AD > юзера и привязывает акцесс лист к логину. > Может есть путь проще? > Спасибо. Как вариант - виртуалку под каждого юзверя, хотя гемор еще тот. Или пара- тройка виртуальных терминалок, с разными уровнями доступа.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору