https://www.opennet.ru/openforum/vsluhforumID6/20990.html Здравствуйте. <br>Передо мной стоит задача. Нужно организовать доступ пользователей локальной сети в Интернет по ACL на рутере по пользователям, т.е. чтобы ACL срабатывали не по ip или MAC адресам, а по доменным учеткам. В кратце: пользователь включает комп, вводит логин и пароль для входа в домен и согласно доменной учетки получает выход в интернет по ACL, которые сработали для данной учетки на рутере.<br>В локальной сети поднят домен Server 2008 c AD. Выход в интернет через NAT на циске 2801.<br>Можно конечно поставить прокси сервер, но в сети всего один сервер, на котором и так поднято много ролей + 1с разных версий крутится под sql. <br>Слыхал, что можно через radius поднять + настроить ааа на циске, но не понимаю как будет происходить аутентификация пользователей и к тому же нужно, чтобы пользователи второй раз не вводили свои логины и пароли, т.е. чтобы все работало прозрачно.<br>Может есть какаие-нить другие способы ограничения выхода пользователей в Интернет.<br> https://www.opennet.ru/openforum/vsluhforumID6/20990.html#8 Thu, 13 May 2010 00:13:39 GMT Всем спасибо за информацию. Конечно, это не то, что я хотел, но попробую побаловаться с радиусом в винде и auth proxy. TMG, конечно, вещь хорошая, но и стоит прилично.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/20990.html#7 Wed, 12 May 2010 09:32:09 GMT &gt;&gt;Auth proxy на Циске и RADIUS на Вин-сервере. <br>&gt;<br>&gt;Про Auth proxy на Циске слыхал, но насколько мне известно, там вроде <br>&gt;тоже нужно вводить логин и пароль при входе, допустим через веб <br>&gt;броузер, в инет. Важный момент - нужно сделать прозрачно для пользователя <br>&gt;и желательно средствами циски, чтоб сервак лишний раз не нагружать. <br><br>Прозрачный сделать не получится.<br><br>Не думаю, что проблема 1-2 раза в сутки залогиниться, используя доменную учетку.<br>Офис маленький- не думаю что с обучением проблемы будут.<br><br>Для автоматического получения прав - что то вроде MS TMG.<br> https://www.opennet.ru/openforum/vsluhforumID6/20990.html#6 Wed, 12 May 2010 05:25:14 GMT &gt;В локальной сети поднят домен Server 2008 c AD. Выход в интернет <br>&gt;через NAT на циске 2801. <br><br>Вот тут про это есть... а вобще - читайте доки...<br>http://www.anticisco.ru/blogs/?p=96<br><br> https://www.opennet.ru/openforum/vsluhforumID6/20990.html#5 Wed, 12 May 2010 00:40:21 GMT &gt;Auth proxy на Циске и RADIUS на Вин-сервере. <br><br>Про Auth proxy на Циске слыхал, но насколько мне известно, там вроде тоже нужно вводить логин и пароль при входе, допустим через веб броузер, в инет. Важный момент - нужно сделать прозрачно для пользователя и желательно средствами циски, чтоб сервак лишний раз не нагружать.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/20990.html#4 Tue, 11 May 2010 19:14:40 GMT &gt;Совершенно точно ваш выбор MS ISA. <br><br>Теперь она гордо называется Treat Managament Gateway (TMG). В целом оч не плохая вещь - но думаю в данном случае можно на рутере с athentication proxy сделать. Радиус в виндовом сервере - считай есть.<br> https://www.opennet.ru/openforum/vsluhforumID6/20990.html#3 Tue, 11 May 2010 14:55:38 GMT &gt;[оверквотинг удален]<br>&gt;В локальной сети поднят домен Server 2008 c AD. Выход в интернет <br>&gt;через NAT на циске 2801. <br>&gt;Можно конечно поставить прокси сервер, но в сети всего один сервер, на <br>&gt;котором и так поднято много ролей + 1с разных версий крутится <br>&gt;под sql. <br>&gt;Слыхал, что можно через radius поднять + настроить ааа на циске, но <br>&gt;не понимаю как будет происходить аутентификация пользователей и к тому же <br>&gt;нужно, чтобы пользователи второй раз не вводили свои логины и пароли, <br>&gt;т.е. чтобы все работало прозрачно. <br>&gt;Может есть какаие-нить другие способы ограничения выхода пользователей в Интернет. <br><br>Auth proxy на Циске и RADIUS на Вин-сервере.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/20990.html#2 Tue, 11 May 2010 14:48:55 GMT &gt;Совершенно точно ваш выбор MS ISA. <br><br>P.S. Для радиуса если чего тоже сервер надо :)<br> https://www.opennet.ru/openforum/vsluhforumID6/20990.html#1 Tue, 11 May 2010 14:45:38 GMT Совершенно точно ваш выбор MS ISA.<br>