URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4829
[ Назад ]

Исходное сообщение
"squid + ISA"

Отправлено AleXander , 10-Апр-07 13:40 
squid + ISA....Люди помогите разораться, сам делаю все в превый раз....так что опыта
наверное не хватает. Ситуация следующая: стоит прокси squid, на нем пользователи
авторизуются(AD), дальше стоит ISA сервер которому squid должен передавать все запросы
(ISA нельзя никуда убрать, на нем ведется учет трафика и всякие разные штуки...)
Проблемма в следующем: как заставить squid авторизоваться на ISA?(NTLM), при этом на ISA нужно передавать данные не одного пользователя которому разрешен доступ, а пользователя который авторизовался на squid. Если можно как то заставить ntlmaps делать такое, то подскажите как...  

Содержание

Сообщения в этом обсуждении
"squid + ISA"
Отправлено micis , 13-Апр-07 05:49 
>squid + ISA....Люди помогите разораться, сам делаю все в превый раз....так что
>опыта
>наверное не хватает. Ситуация следующая: стоит прокси squid, на нем пользователи
>авторизуются(AD), дальше стоит ISA сервер которому squid должен передавать все запросы
>(ISA нельзя никуда убрать, на нем ведется учет трафика и всякие разные
>штуки...)
>Проблемма в следующем: как заставить squid авторизоваться на ISA?(NTLM), при этом на
>ISA нужно передавать данные не одного пользователя которому разрешен доступ, а
>пользователя который авторизовался на squid. Если можно как то заставить ntlmaps
>делать такое, то подскажите как...

Посмотри здесь: http://www1.tw.squid-cache.org/mail-archive/squid-users/2007... (и далее по ветке ответы).
Ещё можно посмотреть на опцию login=*:password (вместо рекомендуемой login=PASS) у cache_peer (я так понимаю, раз юзверь аутентифицируется на сквиде, то зачем тоже делать на ИСА?).
Да и вообще, раз используете ИСА со "штуками", то может сквид лишний?


"squid + ISA"
Отправлено Alexander , 16-Апр-07 08:13 
>>squid + ISA....Люди помогите разораться, сам делаю все в превый раз....так что
>>опыта
>>наверное не хватает. Ситуация следующая: стоит прокси squid, на нем пользователи
>>авторизуются(AD), дальше стоит ISA сервер которому squid должен передавать все запросы
>>(ISA нельзя никуда убрать, на нем ведется учет трафика и всякие разные
>>штуки...)
>>Проблемма в следующем: как заставить squid авторизоваться на ISA?(NTLM), при этом на
>>ISA нужно передавать данные не одного пользователя которому разрешен доступ, а
>>пользователя который авторизовался на squid. Если можно как то заставить ntlmaps
>>делать такое, то подскажите как...
>
>Посмотри здесь: http://www1.tw.squid-cache.org/mail-archive/squid-users/2007... (и далее по ветке ответы).
>Ещё можно посмотреть на опцию login=*:password (вместо рекомендуемой login=PASS) у cache_peer (я
>так понимаю, раз юзверь аутентифицируется на сквиде, то зачем тоже делать
>на ИСА?).
>Да и вообще, раз используете ИСА со "штуками", то может сквид лишний?
>
Спасибо, посмотрел, но не понял до конца(с англицким проблемма наверное :). Там имеется в виду Pass-trough - 1. То что SQUID поддерживает прозрачную для пользователя аутентификацию NTLM? 2. То что SQUID может прокидывать данные пользователей на другой сервере требующий аутентификации?
На сколько я понимаю SQUID не может сам аутентифицироваться по NTLM. login=PASS и login=*:password это все относиться к Basic авторизации и пароль он передавать не будет если пользователь аутентифицировался на SQUID по NTLM.
ISA относиться к компетенции другого отдела и на нее мы влиять никак не можем, а squid нужен для системы контроля трафика для которой нужно чтобы пользователь на ней авторизовался, иначе все будет от имени Anonymous, что не есть хорошо.
Второй вариант.....Есть возможность поставить SQUID после ISA, тогда вроде бы все хорошо, но у пользователя SQUID запрашивает авторизацию, всякий раз как пользователь пытается откыть какую либо ссылку или другой сайт. Вообщем Explorer автоматом авторизуется только на ISA сервере а на SQUID'e  не хочет, нужно руками вводить имя пользователя и пароль. Может есть способ заставить Explorer авторизоваться дважды?