Различить на NPS разные RADIUS-запросы от одного pfsense
-
Коллеги,
помогите разобраться, плизСитуация такая (условно). Есть AD-домен, есть пользователи. Небольшой части этих пользователей запрещен веб-доступ в Интернет, другой части разрешено подключение извне по PPTP. Естественно, эти части могут пересекаться. Вроде бы очевидным решением проблемы является:
0. На pfsense наладить авторизацию по Радиусу для SQUID-а и для PPTP-сервера
1. Создать группы "лишенцев" и "внешников" в AD
2. Поднять на домен-контроллере NPS и настроить политики - одну для запрета, если юзер входит в группу "лишенцев", вторую - для разрешения, если юзер входит в группу "внешников". Ну и третью - разрешить все для запросов с pfsense (чтобы могли выйти в Интернет те, кто ни в одну из групп не входит).Все это работает. До того момента, как юзер должен быть "лишенцем" и "внешником" одновременно.
Если первой поставить политику "запрета веба", то она сработает при подключении извне. Почему-то pfsense, точнее, SQUID не передает на Радиус IP-адрес клиента, лезущего в Интернет, поэтому уточнить участие в группе внутренним адресом клиента не выходит.
Если первой поставить политику разрешения доступа извне, то она же сработает при попытке веб-серфа. pfsense не передает запрошенный клиентом протокол, который может быть опознан NPS-ом. Поэтому уточнить эту политику протоколом тоже не получается. Адрес клиента при этом передается, но в правилах NPS-а нельзя задать "непопадание" адреса в диапазон локальной сети, чтобы политика работала только при не-локальных запросах.
Что посоветуете? Как различить в правилах NPS запросы от SQUID-а и от PPTP-сервера, приходящие с одной железки, с одного IP-адреса?
-
Доброе время суток
Версия pf и squid - последние ?P.s. Рекомендую продублировать свой вопрос в англоветку.
-
pf самый свежий, x86. Сквид - 4.3.10, не 3-й. А есть какая-то разница?
Ну, в общем-то проблема может быть решена именно по признаку наличия адреса клиента. Есть адрес - значит это запрос доступа по PPTP. Получается четыре правила. Только что проверил - все работает. Однако решение это выглядит каким-то кривым.