https://opennet.dev/openforum/vsluhforumID1/91478.html Приветствую.<br><br>Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются при входе в систему, а роутер должен их узнавать по этой аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик это уже отдельная тема).<br><br>Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось бы. Может есть что-то приближенное по функциональности к поставленной задаче? <br><br>Все что мне удалось найти это доменная авторизация в Squid, а хотелось бы просто открывать или закрывать доступ к NAT'у.<br> https://opennet.dev/openforum/vsluhforumID1/91478.html#10 Mon, 02 May 2011 12:23:21 GMT &gt;&gt; Такое решение к сожалению будет стоить весьма не малых бабок и даже <br>&gt;&gt; учитывая это будет далеко не идиальным. Я такое поднимал на IronPort <br>&gt;&gt; S160 + asa 5520. Думаю BlueCoat тоже справится с такими задачами.<br>&gt; 1) Вот потому ты и lamer! Такое решение делается за бесплатно на <br>&gt; OSS ... Гугли про сквид ивсё всё всё ...<br><br>да ? а сквид уже стал поддерживать Single Sign On в прозрачном режиме ? Может ты сам бы погуглил ?<br><br>&gt; 2) Напуркуа IronPort ????<br><br>потому что на сегодняшний день существует всего два солидных решения - BlueCoat и IronPort. Все остальное это фуфло.<br> https://opennet.dev/openforum/vsluhforumID1/91478.html#9 Mon, 02 May 2011 08:21:13 GMT &gt;&gt; Как вариант предлагаю - сделать proxy с авторизацией и поставить его на <br>&gt;&gt; выходе из сети, и на него завернуть все коннекты по HTTP/HTTPS.<br>&gt;&gt; Благо к сквиду ntlm-авторизация на счет три прикручивается.<br>&gt; В Squid, для прозрачного прокси, нельзя использовать NTLM <br><br>ну, на самом деле, можно, просто это создает неприятные побочные эффекты<br> https://opennet.dev/openforum/vsluhforumID1/91478.html#8 Sun, 01 May 2011 23:04:10 GMT &gt; Такое решение к сожалению будет стоить весьма не малых бабок и даже <br>&gt; учитывая это будет далеко не идиальным. Я такое поднимал на IronPort <br>&gt; S160 + asa 5520. Думаю BlueCoat тоже справится с такими задачами. <br><br>1) Вот потому ты и lamer! Такое решение делается за бесплатно на OSS ... Гугли про сквид ивсё всё всё ...<br>2) Напуркуа IronPort ????<br> https://opennet.dev/openforum/vsluhforumID1/91478.html#7 Sun, 01 May 2011 00:04:23 GMT &gt; Приветствую.<br>&gt; Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил <br>&gt; пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются <br>&gt; при входе в систему, а роутер должен их узнавать по этой <br>&gt; аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик <br>&gt; это уже отдельная тема).<br>&gt; Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось <br>&gt; бы. Может есть что-то приближенное по функциональности к поставленной задаче?<br>&gt; Все что мне удалось найти это доменная авторизация в Squid, а хотелось <br>&gt; бы просто открывать или закрывать доступ к NAT'у.<br><br>а можно поинтерсоваться зачем это все (именно NAT после логина в AD) ?<br><br>думаю единственным решением (если я правильно понял намеряния) тут будет прозрачный вебпрокси<br>добавленный в ваш домен и поддерживающий single sign-on. <br>Такое решение к сожалению будет стоить весьма не малых бабок и даже учитывая это будет далеко не идиальным. Я такое поднимал https://opennet.dev/openforum/vsluhforumID1/91478.html#6 Fri, 29 Apr 2011 13:45:23 GMT &gt;[оверквотинг удален]<br>&gt; связана с именем пользователя. Я бы сделал так: <br>&gt; поставил нат <br>&gt; разрешил натить только определенный диапазон адресов (скажем первые 60 адресов, сервера <br>&gt; + vip пользователи) <br>&gt; поднял squid+sams+ntln\ldap+... что еще Вам тут надо (можно просто squid + ntlm <br>&gt; авторизацию, но в самс так красиво и просто, а если еще <br>&gt; rejik там белые-черные списки + много чего еще) <br>&gt; И все.<br>&gt; Т.о.: Vip и сервера (в том числе squid) ходят в инет напрямую, <br>&gt; остальные через squid который берет все из АД.<br><br>Все правильно спросили.<br>Да, "НАТ - трансляция адресов".<br><br>На ASA делается аутентификация через radius (это к вопросу к чему радиус) и потом выход через NAT.<br>Не пробовал, но думаю, что реализуемо и на iptables, только вот не уверен, что получится прозрачно без ввода пароля ... И в случае с терминальными серверами - как делить не понятно.<br> https://opennet.dev/openforum/vsluhforumID1/91478.html#5 Fri, 29 Apr 2011 08:25:03 GMT &gt; Приветствую.<br>&gt; Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил <br>&gt; пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются <br>&gt; при входе в систему, а роутер должен их узнавать по этой <br>&gt; аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик <br>&gt; это уже отдельная тема).<br>&gt; Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось <br>&gt; бы. Может есть что-то приближенное по функциональности к поставленной задаче?<br>&gt; Все что мне удалось найти это доменная авторизация в Squid, а хотелось <br>&gt; бы просто открывать или закрывать доступ к NAT'у.<br><br>Вы не поняли что спросили: НАТ - трансляция адресов, т.е. никак не связана с именем пользователя. Я бы сделал так:<br>поставил нат<br>разрешил натить только определенный диапазон адресов (скажем первые 60 адресов, сервера + vip пользователи)<br>поднял squid+sams+ntln\ldap+... что еще Вам тут надо (можно просто squid + ntlm авторизацию, но в самс так красиво https://opennet.dev/openforum/vsluhforumID1/91478.html#4 Thu, 28 Apr 2011 16:41:30 GMT &gt; Как вариант предлагаю - сделать proxy с авторизацией и поставить его на <br>&gt; выходе из сети, и на него завернуть все коннекты по HTTP/HTTPS. <br>&gt; Благо к сквиду ntlm-авторизация на счет три прикручивается.<br><br>В Squid, для прозрачного прокси, нельзя использовать NTLM<br> https://opennet.dev/openforum/vsluhforumID1/91478.html#3 Wed, 27 Apr 2011 16:47:57 GMT &gt; Не понял зачем радиус, впрочем как и некая программка.<br>&gt; Мы же пользователей в AD авторизуем. Дергаем оттуда инфу, вот тебе и <br>&gt; данные кто за компом, по ним и считаем. Просто с виндами <br>&gt; почти не работал никогда, решил спросить как народ делает по умному <br>&gt; :) <br>&gt; Организация маленькая, в крайнем случае просто VPN настрою на доменную авторизацию, тогда <br>&gt; проблемы вообще все решаться. Хотя это не так красиво как прозрачный <br>&gt; пропуск во внешнюю сеть, но с контролем доступа.<br><br>Как вариант предлагаю - сделать proxy с авторизацией и поставить его на выходе из сети, и на него завернуть все коннекты по HTTP/HTTPS. Это за одно и торренты обрубит со скайпом.<br>Благо к сквиду ntlm-авторизация на счет три прикручивается.<br> https://opennet.dev/openforum/vsluhforumID1/91478.html#2 Wed, 27 Apr 2011 14:11:59 GMT Не понял зачем радиус, впрочем как и некая программка.<br><br>Мы же пользователей в AD авторизуем. Дергаем оттуда инфу, вот тебе и данные кто за компом, по ним и считаем. Просто с виндами почти не работал никогда, решил спросить как народ делает по умному :)<br><br>Организация маленькая, в крайнем случае просто VPN настрою на доменную авторизацию, тогда проблемы вообще все решаться. Хотя это не так красиво как прозрачный пропуск во внешнюю сеть, но с контролем доступа.<br>