Cвязка SQUID+NTLM(AD)



  • Может кто знает или кто-то уже делал нужна связка SQUID+NTLM(AD). Тему по SQUID+LDAP+AD читал, во первых, не получилось, видимо потому что server 2008 и во вторых очень нужна прозрачная авторизация, постоянное окно ввода для авторизации уже надоела.
    Возможно ли сделать такую связку на pfsense или может кто подслушал разговоры разрабов на эту тему? В будущем планируется такое или можно забыть?

    Платформа 2.1, но на продакшине только стабильную.



  • В общем мои мечты по прозрачной аутентификации и "полному" доступу в интернет пока не осуществимы. Задача такая, делается прозрачный прокси, пользователь логинится на своей машине и у него всё работает без дополнительного ввода логина и пароля, причем те программы которые не умеют работать с прокси тоже бы работали.
    Решение задачи: подсчёт трафика по IP.
    Настройка http://forum.pfsense.org/index.php/topic,21394.0.html
    Да, задача усложняется еще тем что ip раздается по DHCP но это не беда, привинчиваем ip+mac и первая проблема решена.
    Проблема номер 2: на одном компьютере работает больше чем один пользователь, в принципе в sarg можно посмотреть по времени сколько накачено за определенное время, зайти на тот компьютер в журнал безопасности и посмотреть кто в это время работал, так мы получим информацию точно о пользователе.
    Проблема номер 3 смена IP: запрещаем в политике GPO настройку сети. Подмена IP, например возьмем usergate там аутентификацию можно сделать по IP+mac, в pfsense есть ли это я не знаю, еще пока не настраивал.
    Проблема номер 4: как вы знаете технологии не стоят на месте и сейчас всё больше и больше устройств беспроводного доступа, как быть с ними, интернета же тоже хочется получить, но тем самым у вас появляется неравенство перед пользователями которые аутентифицировались и анонимами, в принципе способов можно придумать много, я выделю парочку более подходящих для решения этой задачи.
    1 Диапазон DHCP адресов, раздаем столько адресов сколько у нас машин, и так как mac у нас привинчен к IP то нет опасений что IP выдастся какой-нибудь левой машине. А для анонимов можно выделить особые IP либо по DHCP либо статику и с минимальной пропускной способность, и я бы советовал отделить проводную сеть от беспроводной, хотя бы различными подсетями, например сеть у вас 192.168.х.х, а анонимам 10.х.х.х.
    Способ номер 2, так же выдаем IP либо статика, либо DHCP но с какой-нибудь аутентификацией насильным обрывом связи через определенный промежуток времени.
    Так как интернет у меня безлимитный и достаточно скоростной так что мне особо не приходится замарачиваться на счет подсчета трафика. И всем того же желаю.

    Ну вот как то так, есть у кого какие идеи может быть? По упрощению этой схемы.



  • Появилась новая идея.
    Есть для kerio скрипт прозрачной аутентификации. http://sysadmins.ru/topic371781.html
    имеем:
    Шлюз, можно даже без прокси
    распространенный скрипт в домене по средством ГПО.
    Пользователь входит в домен и одновременно идентифицируется по средством скрипта на шлюзе. Шлюз сопоставляет имя и ip адрес пользователя и дальше уже работает с ip адресом пользователя. А в отчете будет отражаться имя пользователя.

    Вообще можно даже сделать так аутентификация на самом шлюзе, шлюз записывает имя=IP и открывает доступ в интернет безо всяких прокси. а ipcad мог бы считать трафик ну и т.д.


Log in to reply