Привет всем.

Года полтора назад немного освоил FreeBSD 6.0 (смог наладить связку ipfw (natd + traffic shaping) + squid (как прозрачный прокси) + ipa (подсчет трафика)). Хорошая была связка!
Потом это дело оставил...
Теперь у меня стоит небольшой домен ActiveDirectory на Windows2003.
До сих пор стоял UserGate в качестве инртернет шлюза (прокси+НАТ). Пробовал WinRoute, TrafficInspector, TMeter. Но все это не то.  
Теперь у меня появилась задача авторизации инет пользователей по их доменнм учетным записям.
Захотелось вернуться снова на FreeBSD в качестве инет шлюза. Но не знаю как организовать авторизацию доменных ползователей. В той связке (см. выше), что я настраивал в свое время на FreeBSD авторизация была по IP (ну еще можно было + MAC). В squid вроде можно авторизовать доменных пользователей, но мне надо чтобы пользователь мог ходить под своей учетной записью и через НАТ. А squid вообще хочется использовать прозрачно.

Надо чтобы человек авторизовавшись на своем компе (в домене) автоматически становился авторизованным на инет-шлюзе. Без привязки к IP и/или МАС.

Какую связку сервисов/приложений вы мне посоветуете на FreeBSD? У кого что работает?

• UNIX шлюз + домен Windows,Xela, 13:14 , 12-Мрт-08
• UNIX шлюз + домен Windows,Kirill, 14:20 , 12-Мрт-08
  • UNIX шлюз + домен Windows,kambi, 15:33 , 15-Мрт-08
    • UNIX шлюз + домен Windows,Virtual, 02:19 , 20-Мрт-08
    • UNIX шлюз + домен Windows,KobaLTD, 14:21 , 20-Мрт-08
      • UNIX шлюз + домен Windows,dz, 19:40 , 20-Мрт-08

Прозрачный прокси и авторизация работать не будут. Если же не использовать прозрачный прокси, то авторизация в домене делается довольно просто.

http://squid.opennet.ru/FAQ/my/FAQrus-23.html начиная с пункта 23.5

М.б. как-то так?
http://www.opennet.me/base/net/socks_nt_auth.txt.html

>Прозрачный прокси и авторизация работать не будут. Если же не использовать прозрачный >прокси, то авторизация в домене делается довольно просто.
>http://squid.opennet.ru/FAQ/my/FAQrus-23.html начиная с пункта 23.5

------------------------------------------------------------------
>М.б. как-то так?
>http://www.opennet.me/base/net/socks_nt_auth.txt.html

Я вообще не хотел связывать авторизацию пользователей с прокси, да и наличие прокси будет для клиентских машин не заметно (прозрачный прокси).

Я думаю в моей задаче не обойтись без решения, в котором на пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate и др.). Например, на шлюзе работает программа (демон),а на клиентских компах клиентский агент, который при авторизации доменного клиента на локальной машине сообщает об этом серверной программе, которая в свою очередь открывает доступ в интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда пользователь выполняет logoff на том компьютере, агент и об этом сообщает серверу и этому компьютеру закрывается доступ. А агент можно было бы легко групповыми политиками раскать на компьютеры пользователей.

Нет ли подобного решения?

>[оверквотинг удален]
>пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate
>и др.). Например, на шлюзе работает программа (демон),а на клиентских компах
>клиентский агент, который при авторизации доменного клиента на локальной машине сообщает
>об этом серверной программе, которая в свою очередь открывает доступ в
>интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда
>пользователь выполняет logoff на том компьютере, агент и об этом сообщает
>серверу и этому компьютеру закрывается доступ. А агент можно было бы
>легко групповыми политиками раскать на компьютеры пользователей.
>
>Нет ли подобного решения?

попробуй вот это SmbGate
https://sourceforge.net/projects/smbgate/

>[оверквотинг удален]
>пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate
>и др.). Например, на шлюзе работает программа (демон),а на клиентских компах
>клиентский агент, который при авторизации доменного клиента на локальной машине сообщает
>об этом серверной программе, которая в свою очередь открывает доступ в
>интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда
>пользователь выполняет logoff на том компьютере, агент и об этом сообщает
>серверу и этому компьютеру закрывается доступ. А агент можно было бы
>легко групповыми политиками раскать на компьютеры пользователей.
>
>Нет ли подобного решения?

Зачем изобретать велосипед - подымай у себя впн сервер, авторизация через радиус сервер, в ад настрой радиус (стандартный в дистрибутиве) чтобы авторизовал через ад. У клиента автоматически подымай впн конект стандартный маздаевский с авторизацией по учетке, так же в ад какждому юзверю ip (уникальный) и все, а далее разрешай запрещай считай все как у тебя и было через ip. Такое есть и работает.

>>[оверквотинг удален]
>Зачем изобретать велосипед - подымай у себя впн сервер, авторизация через радиус
>сервер, в ад настрой радиус (стандартный в дистрибутиве) чтобы авторизовал через
>ад. У клиента автоматически подымай впн конект стандартный маздаевский с авторизацией
>по учетке, так же в ад какждому юзверю ip (уникальный) и
>все, а далее разрешай запрещай считай все как у тебя и
>было через ip. Такое есть и работает.

все верно. на бсд поднимаем poptop
в ppp.conf
set radius /etc/ppp/radius.conf

в radius.conf
auth 192.168.10.10:1812 passwd
acct 192.168.10.10:1813 passwd

в АД поднимаем штатный Радиус. У пользователя даем права на группу доступа (ppp.linkup правила для групп и разрешеные порты), и право дозвона.
все работает уже 3-й год :)