The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"NAT'ить после авторизации в домене Windows"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT)
Изначальное сообщение [ Отслеживать ]

"NAT'ить после авторизации в домене Windows"  +/
Сообщение от MiF email(ok) on 27-Апр-11, 13:25 
Приветствую.

Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются при входе в систему, а роутер должен их узнавать по этой аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик это уже отдельная тема).

Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось бы. Может есть что-то приближенное по функциональности к поставленной задаче?

Все что мне удалось найти это доменная авторизация в Squid, а хотелось бы просто открывать или закрывать доступ к NAT'у.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "NAT'ить после авторизации в домене Windows"  +/
Сообщение от Golub Mikhail (ok) on 27-Апр-11, 14:40 
> Приветствую.
> Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил
> пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются
> при входе в систему, а роутер должен их узнавать по этой
> аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик
> это уже отдельная тема).
> Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось
> бы. Может есть что-то приближенное по функциональности к поставленной задаче?
> Все что мне удалось найти это доменная авторизация в Squid, а хотелось
> бы просто открывать или закрывать доступ к NAT'у.

Задавался такой целью ...
Вариант номер один - radius. Но не совсем прозрачно получится.
Пользователь должен будет пройти авторизацию на радиусе, введя логин и пароль.
Не совсем удобно. Да и потом в кеше будет IP ПК пользователя.

Второй вариант.
Делать свою программку, которая будет работать на ПК юзера в фоне (сервис, приложение) и при запросах к ней отвечать, кто работает за ПК (что-то типа ident).
Плюс - пользователь не участвует в процессе идентификации.

Минусы в обоих вариантах - как быть в случае выхода в Интернет с терминального сервера нескольких пользователей с одного IP?

И пока других вариантов не придумал.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "NAT'ить после авторизации в домене Windows"  +/
Сообщение от MiF email(??) on 27-Апр-11, 18:11 
Не понял зачем радиус, впрочем как и некая программка.

Мы же пользователей в AD авторизуем. Дергаем оттуда инфу, вот тебе и данные кто за компом, по ним и считаем. Просто с виндами почти не работал никогда, решил спросить как народ делает по умному :)

Организация маленькая, в крайнем случае просто VPN настрою на доменную авторизацию, тогда проблемы вообще все решаться. Хотя это не так красиво как прозрачный пропуск во внешнюю сеть, но с контролем доступа.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "NAT'ить после авторизации в домене Windows"  +/
Сообщение от ImPressed (ok) on 27-Апр-11, 20:47 
> Не понял зачем радиус, впрочем как и некая программка.
> Мы же пользователей в AD авторизуем. Дергаем оттуда инфу, вот тебе и
> данные кто за компом, по ним и считаем. Просто с виндами
> почти не работал никогда, решил спросить как народ делает по умному
> :)
> Организация маленькая, в крайнем случае просто VPN настрою на доменную авторизацию, тогда
> проблемы вообще все решаться. Хотя это не так красиво как прозрачный
> пропуск во внешнюю сеть, но с контролем доступа.

Как вариант предлагаю - сделать proxy с авторизацией и поставить его на выходе из сети, и на него завернуть все коннекты по HTTP/HTTPS. Это за одно и торренты обрубит со скайпом.
Благо к сквиду ntlm-авторизация на счет три прикручивается.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "NAT'ить после авторизации в домене Windows"  +/
Сообщение от sHaggY_caT (ok) on 28-Апр-11, 20:41 
> Как вариант предлагаю - сделать proxy с авторизацией и поставить его на
> выходе из сети, и на него завернуть все коннекты по HTTP/HTTPS.
> Благо к сквиду ntlm-авторизация на счет три прикручивается.

В Squid, для прозрачного прокси, нельзя использовать NTLM

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "NAT'ить после авторизации в домене Windows"  +/
Сообщение от Aquarius (ok) on 02-Май-11, 12:21 
>> Как вариант предлагаю - сделать proxy с авторизацией и поставить его на
>> выходе из сети, и на него завернуть все коннекты по HTTP/HTTPS.
>> Благо к сквиду ntlm-авторизация на счет три прикручивается.
> В Squid, для прозрачного прокси, нельзя использовать NTLM

ну, на самом деле, можно, просто это создает неприятные побочные эффекты

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "NAT'ить после авторизации в домене Windows"  +/
Сообщение от mmm (??) on 29-Апр-11, 12:25 
> Приветствую.
> Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил
> пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются
> при входе в систему, а роутер должен их узнавать по этой
> аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик
> это уже отдельная тема).
> Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось
> бы. Может есть что-то приближенное по функциональности к поставленной задаче?
> Все что мне удалось найти это доменная авторизация в Squid, а хотелось
> бы просто открывать или закрывать доступ к NAT'у.

Вы не поняли что спросили: НАТ - трансляция адресов, т.е. никак не связана с именем пользователя. Я бы сделал так:
поставил нат
разрешил натить только определенный диапазон адресов (скажем первые 60 адресов, сервера + vip пользователи)
поднял squid+sams+ntln\ldap+... что еще Вам тут надо (можно просто squid + ntlm авторизацию, но в самс так красиво и просто, а если еще rejik там белые-черные списки + много чего еще)
И все.
Т.о.: Vip и сервера (в том числе squid) ходят в инет напрямую, остальные через squid который берет все из АД.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "NAT'ить после авторизации в домене Windows"  +/
Сообщение от Golub Mikhail (ok) on 29-Апр-11, 17:45 
>[оверквотинг удален]
> связана с именем пользователя. Я бы сделал так:
> поставил нат
> разрешил натить только определенный диапазон адресов (скажем первые 60 адресов, сервера
> + vip пользователи)
> поднял squid+sams+ntln\ldap+... что еще Вам тут надо (можно просто squid + ntlm
> авторизацию, но в самс так красиво и просто, а если еще
> rejik там белые-черные списки + много чего еще)
> И все.
> Т.о.: Vip и сервера (в том числе squid) ходят в инет напрямую,
> остальные через squid который берет все из АД.

Все правильно спросили.
Да, "НАТ - трансляция адресов".

На ASA делается аутентификация через radius (это к вопросу к чему радиус) и потом выход через NAT.
Не пробовал, но думаю, что реализуемо и на iptables, только вот не уверен, что получится прозрачно без ввода пароля ... И в случае с терминальными серверами - как делить не понятно.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "NAT'ить после авторизации в домене Windows"  +/
Сообщение от lamer2k600 on 01-Май-11, 04:04 
> Приветствую.
> Есть желание сделать в офисе роутер (на базе Gentoo/Debian), который бы натил
> пользователей только после авторизации в домене Windows. А точнее пользователи авторизируются
> при входе в систему, а роутер должен их узнавать по этой
> аторизации и пропускать к NAT'у считая трафик каждого пользователя (ну трафик
> это уже отдельная тема).
> Подскажите в какую сторону посмотреть? Городить самописный огород из скриптов не хотелось
> бы. Может есть что-то приближенное по функциональности к поставленной задаче?
> Все что мне удалось найти это доменная авторизация в Squid, а хотелось
> бы просто открывать или закрывать доступ к NAT'у.

а можно поинтерсоваться зачем это все (именно NAT после логина в AD) ?

думаю единственным решением (если я правильно понял намеряния) тут будет прозрачный вебпрокси
добавленный в ваш домен и поддерживающий single sign-on.
Такое решение к сожалению будет стоить весьма не малых бабок и даже учитывая это будет далеко не идиальным. Я такое поднимал на IronPort S160 + asa 5520. Думаю BlueCoat тоже справится с такими задачами.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "NAT'ить после авторизации в домене Windows"  +/
Сообщение от Аноним (??) on 02-Май-11, 03:04 
> Такое решение к сожалению будет стоить весьма не малых бабок и даже
> учитывая это будет далеко не идиальным. Я такое поднимал на IronPort
> S160 + asa 5520. Думаю BlueCoat тоже справится с такими задачами.

1) Вот потому ты и lamer! Такое решение делается за бесплатно на OSS ... Гугли про сквид ивсё всё всё ...
2) Напуркуа IronPort ????

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "NAT'ить после авторизации в домене Windows"  +/
Сообщение от lamer2k600 on 02-Май-11, 16:23 
>> Такое решение к сожалению будет стоить весьма не малых бабок и даже
>> учитывая это будет далеко не идиальным. Я такое поднимал на IronPort
>> S160 + asa 5520. Думаю BlueCoat тоже справится с такими задачами.
> 1) Вот потому ты и lamer! Такое решение делается за бесплатно на
> OSS ... Гугли про сквид ивсё всё всё ...

да ? а сквид уже стал поддерживать Single Sign On в прозрачном режиме ? Может ты сам бы погуглил ?

> 2) Напуркуа IronPort ????

потому что на сегодняшний день существует всего два солидных решения - BlueCoat и IronPort. Все остальное это фуфло.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру