https://slinkov.ru/openforum/vsluhforumID1/79184.html Привет всем.<br><br>Года полтора назад немного освоил FreeBSD 6.0 (смог наладить связку ipfw (natd + traffic shaping) + squid (как прозрачный прокси) + ipa (подсчет трафика)). Хорошая была связка!<br>Потом это дело оставил...<br>Теперь у меня стоит небольшой домен ActiveDirectory на Windows2003.<br>До сих пор стоял UserGate в качестве инртернет шлюза (прокси+НАТ). Пробовал WinRoute, TrafficInspector, TMeter. Но все это не то. <br>Теперь у меня появилась задача авторизации инет пользователей по их доменнм учетным записям. <br>Захотелось вернуться снова на FreeBSD в качестве инет шлюза. Но не знаю как организовать авторизацию доменных ползователей. В той связке (см. выше), что я настраивал в свое время на FreeBSD авторизация была по IP (ну еще можно было + MAC). В squid вроде можно авторизовать доменных пользователей, но мне надо чтобы пользователь мог ходить под своей учетной записью и через НАТ. А squid вообще хочется использовать прозрачно. <br><br>Надо чтобы человек авторизовавшись на своем компе (в домене) автоматически ст https://slinkov.ru/openforum/vsluhforumID1/79184.html#6 Thu, 20 Mar 2008 16:40:10 GMT &gt;&gt;[оверквотинг удален]<br>&gt;Зачем изобретать велосипед - подымай у себя впн сервер, авторизация через радиус <br>&gt;сервер, в ад настрой радиус (стандартный в дистрибутиве) чтобы авторизовал через <br>&gt;ад. У клиента автоматически подымай впн конект стандартный маздаевский с авторизацией <br>&gt;по учетке, так же в ад какждому юзверю ip (уникальный) и <br>&gt;все, а далее разрешай запрещай считай все как у тебя и <br>&gt;было через ip. Такое есть и работает. <br><br>все верно. на бсд поднимаем poptop<br>в ppp.conf<br>set radius /etc/ppp/radius.conf<br><br>в radius.conf<br>auth 192.168.10.10:1812 passwd<br>acct 192.168.10.10:1813 passwd<br><br>в АД поднимаем штатный Радиус. У пользователя даем права на группу доступа (ppp.linkup правила для групп и разрешеные порты), и право дозвона.<br>все работает уже 3-й год :)<br><br> https://slinkov.ru/openforum/vsluhforumID1/79184.html#5 Thu, 20 Mar 2008 11:21:15 GMT &gt;[оверквотинг удален]<br>&gt;пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate <br>&gt;и др.). Например, на шлюзе работает программа (демон),а на клиентских компах <br>&gt;клиентский агент, который при авторизации доменного клиента на локальной машине сообщает <br>&gt;об этом серверной программе, которая в свою очередь открывает доступ в <br>&gt;интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда <br>&gt;пользователь выполняет logoff на том компьютере, агент и об этом сообщает <br>&gt;серверу и этому компьютеру закрывается доступ. А агент можно было бы <br>&gt;легко групповыми политиками раскать на компьютеры пользователей. <br>&gt;<br>&gt;Нет ли подобного решения? <br><br>Зачем изобретать велосипед - подымай у себя впн сервер, авторизация через радиус сервер, в ад настрой радиус (стандартный в дистрибутиве) чтобы авторизовал через ад. У клиента автоматически подымай впн конект стандартный маздаевский с авторизацией по учетке, так же в ад какждому юзвер https://slinkov.ru/openforum/vsluhforumID1/79184.html#4 Wed, 19 Mar 2008 23:19:37 GMT &gt;[оверквотинг удален]<br>&gt;пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate <br>&gt;и др.). Например, на шлюзе работает программа (демон),а на клиентских компах <br>&gt;клиентский агент, который при авторизации доменного клиента на локальной машине сообщает <br>&gt;об этом серверной программе, которая в свою очередь открывает доступ в <br>&gt;интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда <br>&gt;пользователь выполняет logoff на том компьютере, агент и об этом сообщает <br>&gt;серверу и этому компьютеру закрывается доступ. А агент можно было бы <br>&gt;легко групповыми политиками раскать на компьютеры пользователей. <br>&gt;<br>&gt;Нет ли подобного решения? <br><br>попробуй вот это SmbGate<br>https://sourceforge.net/projects/smbgate/<br> https://slinkov.ru/openforum/vsluhforumID1/79184.html#3 Sat, 15 Mar 2008 12:33:34 GMT &gt;Прозрачный прокси и авторизация работать не будут. Если же не использовать прозрачный &gt;прокси, то авторизация в домене делается довольно просто.<br>&gt;http://squid.opennet.ru/FAQ/my/FAQrus-23.html начиная с пункта 23.5<br><br>------------------------------------------------------------------<br>&gt;М.б. как-то так? <br>&gt;http://www.opennet.ru/base/net/socks_nt_auth.txt.html <br><br>Я вообще не хотел связывать авторизацию пользователей с прокси, да и наличие прокси будет для клиентских машин не заметно (прозрачный прокси). <br><br>Я думаю в моей задаче не обойтись без решения, в котором на пользовательскую машину ставиться клиентская программа-агент (как виндовых программах типа TrafficInspector, UserGate и др.). Например, на шлюзе работает программа (демон),а на клиентских компах клиентский агент, который при авторизации доменного клиента на локальной машине сообщает об этом серверной программе, которая в свою очередь открывает доступ в интернет этому компьютеру (может править, например правила файервола, желательно ipfw). Когда поль https://slinkov.ru/openforum/vsluhforumID1/79184.html#2 Wed, 12 Mar 2008 11:20:18 GMT М.б. как-то так?<br>http://www.opennet.ru/base/net/socks_nt_auth.txt.html<br><br> https://slinkov.ru/openforum/vsluhforumID1/79184.html#1 Wed, 12 Mar 2008 10:14:36 GMT Прозрачный прокси и авторизация работать не будут. Если же не использовать прозрачный прокси, то авторизация в домене делается довольно просто.<br><br>http://squid.opennet.ru/FAQ/my/FAQrus-23.html начиная с пункта 23.5<br>