URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 5864
[ Назад ]

Исходное сообщение
"SQUID +SAMS+NTLM +Transparent Proxy"
Отправлено zom , 01-Дек-08 08:54

Народ! Просветите пожалуйста! Хотел потсавить систему SAMS. Выяснилось, что нужно поднять ntlm-аутентификацию. Поднял. Вроде работает, в access.log имена юзеров пишет. Но оказалось, что в режиме transparent ntlm работать не будет.
aclAuthenticated: authentication not applicable on transparently intercepted requests.
Так как мне юзеров редиректнуть на прокси, чтобы они только через него могли ходить в сеть? Если я отключаю transparent-режим, то обычный редирект через сквид средствами iptables выдает в броузере ошибку.. Помогите плиз!!

Содержание

SQUID +SAMS+NTLM +Transparent Proxy,reader, 17:43 , 01-Дек-08
- SQUID +SAMS+NTLM +Transparent Proxy,zom, 21:49 , 01-Дек-08
  - SQUID +SAMS+NTLM +Transparent Proxy,NixKoT, 21:55 , 01-Дек-08

Сообщения в этом обсуждении

"SQUID +SAMS+NTLM +Transparent Proxy"
Отправлено reader , 01-Дек-08 17:43

>Народ! Просветите пожалуйста! Хотел потсавить систему SAMS. Выяснилось, что нужно поднять ntlm-аутентификацию.
>Поднял. Вроде работает, в access.log имена юзеров пишет. Но оказалось, что
>в режиме transparent ntlm работать не будет.
>
> aclAuthenticated: authentication not applicable on transparently intercepted requests.
>
>Так как мне юзеров редиректнуть на прокси, чтобы они только через
>него могли ходить в сеть? Если я отключаю transparent-режим, то
>обычный редирект через сквид средствами iptables выдает в броузере ошибку.. Помогите
>плиз!!
ни как, или аутентификация или transparent

"SQUID +SAMS+NTLM +Transparent Proxy"
Отправлено zom , 01-Дек-08 21:49

>[оверквотинг удален]
>>в режиме transparent ntlm работать не будет.
>>
>> aclAuthenticated: authentication not applicable on transparently intercepted requests.
>>
>>Так как мне юзеров редиректнуть на прокси, чтобы они  только через
>>него могли ходить в сеть? Если я отключаю  transparent-режим, то
>>обычный редирект через сквид средствами iptables выдает в броузере ошибку.. Помогите
>>плиз!!
>
>ни как, или аутентификация или transparent
Подскажите пожалуйста, правильно ли я понял, что:
1) делать людям прозрачный редирект и аутентифицировать их через домен одновременно - не возможно
2) аутентифицировать народ через домен и получать в access.log их логины для системы учета можно, но тогда все должны прописывать себе в настройках адрес и порт прокси, или всем придется юзать IE.
2.1) SAMS будет всех (кто с именами, и кто без них) учитывать в своеё статистике
3) в случае, если мы всё же делаем аутентификацию, запретить народу ходить в инет не через прокси можно только путем написания правил iptables, в которых запрещено выдавать на выход в интернет всё то, что не идет с порта или на порт прокси, прописанный в его конфиге.
4) вполне реально (так мне нужно) сделать, чтобы часть народа при исполнении пункта 3 ходила через прокси без аутентификации (просто ещё один acl добавить).

"SQUID +SAMS+NTLM +Transparent Proxy"
Отправлено NixKoT , 01-Дек-08 21:55

>[оверквотинг удален]
>
>3) в случае, если мы всё же делаем аутентификацию, запретить народу ходить
>в инет не через прокси можно только путем написания правил iptables,
>в которых запрещено выдавать на выход в интернет всё то, что
>не идет с порта или на порт прокси, прописанный в его
>конфиге.
>
>4) вполне реально (так мне нужно) сделать, чтобы часть народа при исполнении
>пункта 3 ходила через прокси без аутентификации (просто ещё один acl
>добавить).
1) да
2) да
2.1) да
3) нет
4) да
по 3 и 4 пунктам - почитай в сторону редиректоров (Rejik, samsredir и т.п.)