Здравствуйте.
Передо мной стоит задача. Нужно организовать доступ пользователей локальной сети в Интернет по ACL на рутере по пользователям, т.е. чтобы ACL срабатывали не по ip или MAC адресам, а по доменным учеткам. В кратце: пользователь включает комп, вводит логин и пароль для входа в домен и согласно доменной учетки получает выход в интернет по ACL, которые сработали для данной учетки на рутере.
В локальной сети поднят домен Server 2008 c AD. Выход в интернет через NAT на циске 2801.
Можно конечно поставить прокси сервер, но в сети всего один сервер, на котором и так поднято много ролей + 1с разных версий крутится под sql.
Слыхал, что можно через radius поднять + настроить ааа на циске, но не понимаю как будет происходить аутентификация пользователей и к тому же нужно, чтобы пользователи второй раз не вводили свои логины и пароли, т.е. чтобы все работало прозрачно.
Может есть какаие-нить другие способы ограничения выхода пользователей в Интернет.

• Как организовать доступ пользователей в Интернет согласно AC...,eek, 18:45 , 11-Май-10
  • Как организовать доступ пользователей в Интернет согласно AC...,eek, 18:48 , 11-Май-10
  • Как организовать доступ пользователей в Интернет согласно AC...,Pve1, 23:14 , 11-Май-10
• Как организовать доступ пользователей в Интернет согласно AC...,AlexDv, 18:55 , 11-Май-10
  • Как организовать доступ пользователей в Интернет согласно AC...,sundoom, 04:40 , 12-Май-10
    • Как организовать доступ пользователей в Интернет согласно AC...,Pve1, 13:32 , 12-Май-10
• Как организовать доступ пользователей в Интернет согласно AC...,Square, 09:25 , 12-Май-10
  • Как организовать доступ пользователей в Интернет согласно AC...,sundoom, 04:13 , 13-Май-10

Совершенно точно ваш выбор MS ISA.

>Совершенно точно ваш выбор MS ISA.

P.S. Для радиуса если чего тоже сервер надо :)

>Совершенно точно ваш выбор MS ISA.

Теперь она гордо называется Treat Managament Gateway (TMG). В целом оч не плохая вещь - но думаю в данном случае можно на рутере с athentication proxy сделать. Радиус в виндовом сервере - считай есть.

>[оверквотинг удален]
>В локальной сети поднят домен Server 2008 c AD. Выход в интернет
>через NAT на циске 2801.
>Можно конечно поставить прокси сервер, но в сети всего один сервер, на
>котором и так поднято много ролей + 1с разных версий крутится
>под sql.
>Слыхал, что можно через radius поднять + настроить ааа на циске, но
>не понимаю как будет происходить аутентификация пользователей и к тому же
>нужно, чтобы пользователи второй раз не вводили свои логины и пароли,
>т.е. чтобы все работало прозрачно.
>Может есть какаие-нить другие способы ограничения выхода пользователей в Интернет.

Auth proxy на Циске и RADIUS на Вин-сервере.

>Auth proxy на Циске и RADIUS на Вин-сервере.

Про Auth proxy на Циске слыхал, но насколько мне известно, там вроде тоже нужно вводить логин и пароль при входе, допустим через веб броузер, в инет. Важный момент - нужно сделать прозрачно для пользователя и желательно средствами циски, чтоб сервак лишний раз не нагружать.

>>Auth proxy на Циске и RADIUS на Вин-сервере.
>
>Про Auth proxy на Циске слыхал, но насколько мне известно, там вроде
>тоже нужно вводить логин и пароль при входе, допустим через веб
>броузер, в инет. Важный момент - нужно сделать прозрачно для пользователя
>и желательно средствами циски, чтоб сервак лишний раз не нагружать.

Прозрачный сделать не получится.

Не думаю, что проблема 1-2 раза в сутки залогиниться, используя доменную учетку.
Офис маленький- не думаю что с обучением проблемы будут.

Для автоматического получения прав - что то вроде MS TMG.

>В локальной сети поднят домен Server 2008 c AD. Выход в интернет
>через NAT на циске 2801.

Вот тут про это есть... а вобще - читайте доки...
http://www.anticisco.ru/blogs/?p=96

Всем спасибо за информацию. Конечно, это не то, что я хотел, но попробую побаловаться с радиусом в винде и auth proxy. TMG, конечно, вещь хорошая, но и стоит прилично.