Приветствую.Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются при входе в систему, а роутер должен их узнавать по этой аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик это уже отдельная тема).
Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось бы. Может есть что-то приближенное по функциональности к поставленной задаче?
Все что мне удалось найти это доменная авторизация в Squid, а хотелось бы просто открывать или закрывать доступ к NAT'у.
> Приветствую.
> Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил
> пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются
> при входе в систему, а роутер должен их узнавать по этой
> аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик
> это уже отдельная тема).
> Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось
> бы. Может есть что-то приближенное по функциональности к поставленной задаче?
> Все что мне удалось найти это доменная авторизация в Squid, а хотелось
> бы просто открывать или закрывать доступ к NAT'у.Задавался такой целью ...
Вариант номер один - radius. Но не совсем прозрачно получится.
Пользователь должен будет пройти авторизацию на радиусе, введя логин и пароль.
Не совсем удобно. Да и потом в кеше будет IP ПК пользователя.Второй вариант.
Делать свою программку, которая будет работать на ПК юзера в фоне (сервис, приложение) и при запросах к ней отвечать, кто работает за ПК (что-то типа ident).
Плюс - пользователь не участвует в процессе идентификации.Минусы в обоих вариантах - как быть в случае выхода в Интернет с терминального сервера нескольких пользователей с одного IP?
И пока других вариантов не придумал.
Не понял зачем радиус, впрочем как и некая программка.Мы же пользователей в AD авторизуем. Дергаем оттуда инфу, вот тебе и данные кто за компом, по ним и считаем. Просто с виндами почти не работал никогда, решил спросить как народ делает по умному :)
Организация маленькая, в крайнем случае просто VPN настрою на доменную авторизацию, тогда проблемы вообще все решаться. Хотя это не так красиво как прозрачный пропуск во внешнюю сеть, но с контролем доступа.
> Не понял зачем радиус, впрочем как и некая программка.
> Мы же пользователей в AD авторизуем. Дергаем оттуда инфу, вот тебе и
> данные кто за компом, по ним и считаем. Просто с виндами
> почти не работал никогда, решил спросить как народ делает по умному
> :)
> Организация маленькая, в крайнем случае просто VPN настрою на доменную авторизацию, тогда
> проблемы вообще все решаться. Хотя это не так красиво как прозрачный
> пропуск во внешнюю сеть, но с контролем доступа.Как вариант предлагаю - сделать proxy с авторизацией и поставить его на выходе из сети, и на него завернуть все коннекты по HTTP/HTTPS. Это за одно и торренты обрубит со скайпом.
Благо к сквиду ntlm-авторизация на счет три прикручивается.
> Как вариант предлагаю - сделать proxy с авторизацией и поставить его на
> выходе из сети, и на него завернуть все коннекты по HTTP/HTTPS.
> Благо к сквиду ntlm-авторизация на счет три прикручивается.В Squid, для прозрачного прокси, нельзя использовать NTLM
>> Как вариант предлагаю - сделать proxy с авторизацией и поставить его на
>> выходе из сети, и на него завернуть все коннекты по HTTP/HTTPS.
>> Благо к сквиду ntlm-авторизация на счет три прикручивается.
> В Squid, для прозрачного прокси, нельзя использовать NTLMну, на самом деле, можно, просто это создает неприятные побочные эффекты
> Приветствую.
> Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил
> пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются
> при входе в систему, а роутер должен их узнавать по этой
> аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик
> это уже отдельная тема).
> Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось
> бы. Может есть что-то приближенное по функциональности к поставленной задаче?
> Все что мне удалось найти это доменная авторизация в Squid, а хотелось
> бы просто открывать или закрывать доступ к NAT'у.Вы не поняли что спросили: НАТ - трансляция адресов, т.е. никак не связана с именем пользователя. Я бы сделал так:
поставил нат
разрешил натить только определенный диапазон адресов (скажем первые 60 адресов, сервера + vip пользователи)
поднял squid+sams+ntln\ldap+... что еще Вам тут надо (можно просто squid + ntlm авторизацию, но в самс так красиво и просто, а если еще rejik там белые-черные списки + много чего еще)
И все.
Т.о.: Vip и сервера (в том числе squid) ходят в инет напрямую, остальные через squid который берет все из АД.
>[оверквотинг удален]
> связана с именем пользователя. Я бы сделал так:
> поставил нат
> разрешил натить только определенный диапазон адресов (скажем первые 60 адресов, сервера
> + vip пользователи)
> поднял squid+sams+ntln\ldap+... что еще Вам тут надо (можно просто squid + ntlm
> авторизацию, но в самс так красиво и просто, а если еще
> rejik там белые-черные списки + много чего еще)
> И все.
> Т.о.: Vip и сервера (в том числе squid) ходят в инет напрямую,
> остальные через squid который берет все из АД.Все правильно спросили.
Да, "НАТ - трансляция адресов".На ASA делается аутентификация через radius (это к вопросу к чему радиус) и потом выход через NAT.
Не пробовал, но думаю, что реализуемо и на iptables, только вот не уверен, что получится прозрачно без ввода пароля ... И в случае с терминальными серверами - как делить не понятно.
> Приветствую.
> Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил
> пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются
> при входе в систему, а роутер должен их узнавать по этой
> аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик
> это уже отдельная тема).
> Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось
> бы. Может есть что-то приближенное по функциональности к поставленной задаче?
> Все что мне удалось найти это доменная авторизация в Squid, а хотелось
> бы просто открывать или закрывать доступ к NAT'у.а можно поинтерсоваться зачем это все (именно NAT после логина в AD) ?
думаю единственным решением (если я правильно понял намеряния) тут будет прозрачный вебпрокси
добавленный в ваш домен и поддерживающий single sign-on.
Такое решение к сожалению будет стоить весьма не малых бабок и даже учитывая это будет далеко не идиальным. Я такое поднимал на IronPort S160 + asa 5520. Думаю BlueCoat тоже справится с такими задачами.
> Такое решение к сожалению будет стоить весьма не малых бабок и даже
> учитывая это будет далеко не идиальным. Я такое поднимал на IronPort
> S160 + asa 5520. Думаю BlueCoat тоже справится с такими задачами.1) Вот потому ты и lamer! Такое решение делается за бесплатно на OSS ... Гугли про сквид ивсё всё всё ...
2) Напуркуа IronPort ????
>> Такое решение к сожалению будет стоить весьма не малых бабок и даже
>> учитывая это будет далеко не идиальным. Я такое поднимал на IronPort
>> S160 + asa 5520. Думаю BlueCoat тоже справится с такими задачами.
> 1) Вот потому ты и lamer! Такое решение делается за бесплатно на
> OSS ... Гугли про сквид ивсё всё всё ...да ? а сквид уже стал поддерживать Single Sign On в прозрачном режиме ? Может ты сам бы погуглил ?
> 2) Напуркуа IronPort ????
потому что на сегодняшний день существует всего два солидных решения - BlueCoat и IronPort. Все остальное это фуфло.