Хочу немножко порассуждать вслух и услышать комментарии.Есть компания. В этой компании есть сотрудники и компьютеры. Есть интернет (в данном случае под интернетом я понимаю только протокол http).
Задача: некоторым сотрудникам давать полный доступ к интернет; некоторым доступ только к некоторым сайтам; некоторым полный доступ, но некоторые сайты недоступны. Гостям (т.е. тем, кто не авторизировался, как сотрудник) в зависимости от настройки: не давать вообще доступа; либо давать доступ только к некоторым сайтам; либо давать полный доступ.
Должны так же существовать настройки, может ли сотрудник залезать в нет с любого компьютера, либо он ограничен одим/несколькими компьютерами.
Так же необходимо, чтобы все действия логировались (в логи записывались: логин пользователя, кто это закачал, айпишник машины, ну и все стандартное-остальное)
Так же необходимо иметь "тонкие настроки" типа ограничивать доступ по дате-времени/фильтр по ключевым словам.
То что я описал выше, с моей точки зрения перекрывает потребности любой компании к предоставлению доступа в нет. Согласны вы с этим или еще существуют какие-то потребности, у компаний?
Еще один вопрос — это как проводить авторизацию пользователя. Я придумал следующие варианты:
1. Пользователь заходит в компьютер с помощью авторизации в домене. Где-то записывается, что пользователь Пупки сейчас сидит за компьютером A и весь интернет трафик приходящий на айпишник этот машины записывается на Пупкина. Он выходит из домена, доступ с этого айпишника блокируется.
2. При открытии бразузера прокси спрашивает логин-пароль (вроде у сквида есть такая возможность). Бразуер закрывается - все доступ в нет отрублен (так как при следюущем запуске браузера опять будет спрошен логин-пароль)
3. Авторизация через веб. Тут все просто - есть некий сайт, на него можно зайти, после авторизации, нажать на кнопку "Включить нет". Доступ с этого айпишника разрешается в зависимости от прав пользователя. Пользователь поработал - на сайте нажал другую кнопку "Выключить нет" (либо ajax-ом проверять, не закрыл ли пользователь эту страницу)Совершенно однозначно существуют другие возможности. Как вы считаете, что стоит для того, чтобы авторизироватся?
Заранее благодарен за любые мыли / ссылки.
Thx!
Squid (с доменной авторизацией) + rejik (контроллер содержимого страниц) + анализатор логов сквида для удобства вроде подходит под все пункты. На каком бы компьютере Вася бы не залогинился, трафик считаться будет на него.
>Squid (с доменной авторизацией) + rejik (контроллер содержимого страниц) + анализатор логов
>сквида для удобства вроде подходит под все пункты. На каком бы
>компьютере Вася бы не залогинился, трафик считаться будет на него.Спасибо за ваш ответ, а особенно спасибо за rejik (не знал про эту штукенцию).
Мой основной вопрос был не про техническую реализацию, а про то, перечилс ли я все потребности в функционале, которые могут возникнуть у компании, либо кто-то может возжелать что-то еще эдакого. Буду очень рад, если вы выскажите свое мнение на этот счет.
Кто-то может возжелать еще и пропуск VPN/GRE и прочих туннелей, кому-то нужен VoIP, который через прокси не работает, кому-то для приложения еще и SOCKS нужен... Вариантов куча. Хотя то, что написано у вас - это наиболее типичное использование интернета в организации.
> Хотя то, что написано у вас -
>это наиболее типичное использование интернета в организации.Я вас понял. Спасибо.
>[оверквотинг удален]
>>сквида для удобства вроде подходит под все пункты. На каком бы
>>компьютере Вася бы не залогинился, трафик считаться будет на него.
>
>Спасибо за ваш ответ, а особенно спасибо за rejik (не знал про
>эту штукенцию).
>
>Мой основной вопрос был не про техническую реализацию, а про то, перечилс
>ли я все потребности в функционале, которые могут возникнуть у компании,
>либо кто-то может возжелать что-то еще эдакого. Буду очень рад, если
>вы выскажите свое мнение на этот счет.есть 1 аспект - а конкретней запрет/разрешиен скачивания файлов по http причем как в зависимости от расширения, так и наполнения - в принцепе это тоже важно. + необходимоть регулеровки квот на пользователя/комп/группу пользователей/группу компок по объему/времени/сайтам + шейпинг канала сответственно пользователя/комп/группу пользователей/группу компок по объему/времени/сайтам
вроде так
>есть 1 аспект - а конкретней запрет/разрешиен скачивания файлов по http причем
>как в зависимости от расширения, так и наполнения - в принцепе
>это тоже важно. + необходимоть регулеровки квот на пользователя/комп/группу пользователей/группу компок
>по объему/времени/сайтам + шейпинг канала сответственно пользователя/комп/группу пользователей/группу компок по объему/времени/сайтам
>
>вроде такТочно! Про квоты и шейпинг совершенно забыл! Спасибо!
squid+ldap+scripts+полдня отладки
>squid+ldap+scripts+полдня отладкиСпасибо, но меня больше интересует не "как это сделать", а "что еще может понадобится".
Могут захотеть ещё другие протоколы, кроме http.
Почта, аська.Аська может работать через прокси.
Для почты можно всех принудить использовать веб-интерфейс.Ещё могут захотеть ограничения по типу скачиваемого http контента (запретить качать mp3, avi и т.д.)
Это делается с помощью того-же squid.Могу посоветовать для хранения всяких гибких ограничений использовать sql (тот же mysql).
И написать скрипт, который будет выдергивать нужные данные и говорить "можно/нельзя".
В squid можно использовать сторонние программы и сторонние acl для определения, можно юзеру что-то, или нельзя.
>[оверквотинг удален]
>
>Ещё могут захотеть ограничения по типу скачиваемого http контента (запретить качать mp3,
>avi и т.д.)
>Это делается с помощью того-же squid.
>
>Могу посоветовать для хранения всяких гибких ограничений использовать sql (тот же mysql).
>
>И написать скрипт, который будет выдергивать нужные данные и говорить "можно/нельзя".
>В squid можно использовать сторонние программы и сторонние acl для определения, можно
>юзеру что-то, или нельзя.Спасибо!