URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1062
[ Назад ]
Исходное сообщение
"Browser-Based Authentication Bypass"
Отправлено Dhm , 08-Ноя-13 11:07 
Добрый день.
Есть 2921, хотелось бы фильтровать соц. сети и т.д по юзернейму.
Юзеры выходят в инет с терминального сервера, т.е у всех один ip.
Думаю авторизовывать через сабж на CiscoSecure ACS, а он спрашивает в AD юзера и привязывает акцесс лист к логину.
Может есть путь проще?
Спасибо.
Содержание
Сообщения в этом обсуждении
"Browser-Based Authentication Bypass"
Отправлено Dhm , 08-Ноя-13 11:17 
Уточнение, а она вообще так может или фильтрация только на уровне 3?
И как тогда быть?
Может сквид какой?


"Browser-Based Authentication Bypass"
Отправлено Merridius , 08-Ноя-13 16:36 
> Уточнение, а она вообще так может или фильтрация только на уровне 3?
> И как тогда быть?
> Может сквид какой?

Я так понял вам нужно вот это Cisco IOS User-Based Firewall
Но можно и wccp+squid

"Browser-Based Authentication Bypass"
Отправлено Dhm , 08-Ноя-13 16:56 
Ну, нужно фильтровать контент в зависимости от того какой юзер выходит в инет...
Еще и выходят все с одного ип адреса.

"Browser-Based Authentication Bypass"
Отправлено Dhm , 08-Ноя-13 18:02 
>> Уточнение, а она вообще так может или фильтрация только на уровне 3?
>> И как тогда быть?
>> Может сквид какой?
> Я так понял вам нужно вот это Cisco IOS User-Based Firewall
> Но можно и wccp+squid

Да, похоже что Cisco IOS User-Based Firewall то что нужно, спасибо.

"Browser-Based Authentication Bypass"
Отправлено ShyLion , 11-Ноя-13 11:25 
>>> Уточнение, а она вообще так может или фильтрация только на уровне 3?
>>> И как тогда быть?
>>> Может сквид какой?
>> Я так понял вам нужно вот это Cisco IOS User-Based Firewall
>> Но можно и wccp+squid
> Да, похоже что Cisco IOS User-Based Firewall то что нужно, спасибо.

Cisco IOS User-Based Firewall Support leverages existing authentication and validation methods to associate each source IP address to a user-group.

Один хрен все сводится к пользователь<->IP. В случае терминального сервера только полноценный прокси, типа сквида.

"Browser-Based Authentication Bypass"
Отправлено IZh , 08-Ноя-13 17:06 
http://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_ldap/con...
"Browser-Based Authentication Bypass"
Отправлено IZh , 08-Ноя-13 17:15 
Ах да, у вас же роутер packet-based. Вряд ли заработает для одного айпишника, если только поменять на аса.
"Browser-Based Authentication Bypass"
Отправлено Dhm , 08-Ноя-13 17:36 
Ну да, или делать впн, чего совсем не хочется.


"Browser-Based Authentication Bypass"
Отправлено ShyLion , 11-Ноя-13 11:27 
> Ну да, или делать впн, чего совсем не хочется.

Впн это тоже 3 уровень. На терминальном сервере не получится разных пользователей через разные ВПН роутить. ИМХО. По крайней мере на винде.

В Linux/BSD вроде есть вариант фильтрации/роутинга на основании GID процесса, но это отдельная  песня.

"Browser-Based Authentication Bypass"
Отправлено ShyLion , 11-Ноя-13 11:28 
> Добрый день.
> Есть 2921, хотелось бы фильтровать соц. сети и т.д по юзернейму.
> Юзеры выходят в инет с терминального сервера, т.е у всех один ip.
> Думаю авторизовывать через сабж на CiscoSecure ACS, а он спрашивает в AD
> юзера и привязывает акцесс лист к логину.
> Может есть путь проще?
> Спасибо.

Как вариант - виртуалку под каждого юзверя, хотя гемор еще тот.
Или пара- тройка виртуальных терминалок, с разными уровнями доступа.