URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6195
[ Назад ]

Исходное сообщение
"squid. доступ из вне"
Отправлено gleb41 , 25-Сен-09 09:23

цель, перенести шлюзовую машину на freebsd. в данный момент шлюз - это win2003, isa. :bad:
на фре уже настроено: openvpn (удаленные филиалы), ipfw, samba+winbind (машина в домене, все ог)+kerberos (все вроде тож ог). squid стоит, наполовину настроен.
встала перед мной проблема следующая: есть группа зверьков в ad кот должны/могут заходить с любого внешнего ip по логину/пароль в мою сеть. делаю это через squid и ntlm_auth (правда пока из командной строки цепляется тока через basic а не через ntlmssp, ну эт ладно). сквид пока толкам не настраивал, конфиг огромен, времени мало.
народ накидайте примерные строчки что должно быть в сквиде, чтобы решить мою траблу. или сцылку на обсуждение данного вопроса.
ps : в ip fw я делаю следующим образом >> правило по умолчанию deny , но до него в моем случае не доходит дело. идут все разрешения (филиалы, почта .....) , перед правилом по умолчанию идет форвардинг на localhost,3128 и там уже , типо кто авторизовался из нужной мне группы, тот проходит в локалку а остальные deny ip from any to any.
и если моно, почему: из комадной строки
ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="myDomen\test_gr" + login passwd статус ОК
ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="myDomen\test_gr" + login passwd статус ERR
хотя по отдельности все связки работаю, с ключами проблем нет.

Содержание

squid. доступ из вне,Сергей, 10:07 , 25-Сен-09

Сообщения в этом обсуждении

"squid. доступ из вне"
Отправлено Сергей , 25-Сен-09 10:07

>цель, перенести шлюзовую машину на freebsd. в данный момент шлюз - это
>win2003, isa. :bad:
>на фре уже настроено: openvpn (удаленные филиалы), ipfw, samba+winbind (машина в домене,
>все ог)+kerberos (все вроде тож ог). squid стоит, наполовину настроен.
>встала перед мной проблема следующая: есть группа зверьков в ad кот должны/могут
>заходить с любого внешнего ip по логину/пароль в мою сеть.
Что за зверьки, точнее что ни должны делать, мне кажется вам надо использовать mpd, squid - это прокси-сервер и он во внутреннюю сетку не пускает.... Вполне возможно для аутенфикации зверьков в AD вам на w2k3 придется поднять IAS...
>это через squid и ntlm_auth (правда пока из командной строки цепляется
>тока через basic а не через ntlmssp, ну эт ладно). сквид
>пока толкам не настраивал, конфиг огромен, времени мало.