Извиняюсь, если не заметил где-то похожего поста. Вроде везде облазил, но конкретно этого вопроса, а тем более ответа не видел. Если ошибаюсь то киньте плиз ссылку и тогда тему можно закрывать.
Появилось желание избавиться от MS ISA. Из того что удалось нагуглить в голове складывается следующая картина. В качестве файервола можно использовать к примеру PF. В качестве прокси-кэша SQUID. Поставил, попробовал, сложностей не возникло. Для нормальной совместной работы SQUID пришлось перевести в режим transparent. Считалки трафика то же можно найти, хотя с выбором пока не определился. Дальше появлось желание авторизовывать пользователей на сквиде и считать трафик по пользователям, а не по ip-шникам. Выяснилось что авторизация NTLM (basic скорее всего тоже) на SQUID в прозрачном режиме невозможна. Если я правильно понял, то на одной машине такую связку не собрать. И для реализации такого проекта SQUID нужно будет выносить на отдельный сервер.
У меня вопрос: "я прав или ошибаюсь в том, что такую связку на одном сервере на собрать"?
FreeBSD + PF +SQUID + авторизация в AD. Это возможно?
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
Людвих Аристархович
- проходил мимо
Re: FreeBSD + PF +SQUID + авторизация в AD. Это возможно?
Сделай не прозрачный прокси ) если честно не понимаю почему все любят прозрачный...через GPO в АД можно поставить всем свой не прозрачный прокси по-дефолту в IE, опять же намного удобней авторизовывать юзеров по доменным логинам а не по ИП.
-
vasyun
- проходил мимо
Re: FreeBSD + PF +SQUID + авторизация в AD. Это возможно?
Именно так я и планировал сделать. Но что делать с программами которые не используют настройки прокси из IE, или как быть в случае мозилы, пользователь может прокси и не выставлять в ней. Тогда есть желание принудительно заворачивать этот трафик на SQUID средствами например PF. А вот этот вариант мне удался либо в режиме транспарент прокси без авторизации, либо никак. Поэтому и спрашиваю, возможно ли вообще использовать связку PF+SQUID+авторизаци в AD, или я просто где то ошибся в конфигах поэтому и не смог получить желаемого результата.Людвих Аристархович писал(а):Сделай не прозрачный прокси ) если честно не понимаю почему все любят прозрачный...через GPO в АД можно поставить всем свой не прозрачный прокси по-дефолту в IE, опять же намного удобней авторизовывать юзеров по доменным логинам а не по ИП.
-
freeman
- лейтенант
- Сообщения: 734
- Зарегистрирован: 2007-03-18 5:13:25
Re: FreeBSD + PF +SQUID + авторизация в AD. Это возможно?
Когда сам таким заморачивался, нашёл что нельзя транспарент прокси и ntlm аутентификацию подружить. И даже PF тут не поможет.vasyun писал(а):Именно так я и планировал сделать. Но что делать с программами которые не используют настройки прокси из IE, или как быть в случае мозилы, пользователь может прокси и не выставлять в ней. Тогда есть желание принудительно заворачивать этот трафик на SQUID средствами например PF. А вот этот вариант мне удался либо в режиме транспарент прокси без авторизации, либо никак. Поэтому и спрашиваю, возможно ли вообще использовать связку PF+SQUID+авторизаци в AD, или я просто где то ошибся в конфигах поэтому и не смог получить желаемого результата.Людвих Аристархович писал(а):Сделай не прозрачный прокси ) если честно не понимаю почему все любят прозрачный...через GPO в АД можно поставить всем свой не прозрачный прокси по-дефолту в IE, опять же намного удобней авторизовывать юзеров по доменным логинам а не по ИП.
AD с её политиками лучший "заворачиватель". А програмок, которые не используют настройки из IE гораздо меньше чем тех что с ntlm не дружат, так что им эти варианты равноодинаковы.
Остатся должен только один ...
-
pomaskin
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2009-11-15 16:08:13
- Откуда: Красноярск
- Контактная информация:
Re: FreeBSD + PF +SQUID + авторизация в AD. Это возможно?
Привязал к squid авторизацию из AD. Если указать прокси в браузере, то все работает отлично.
Если делаю прокси прозрачным, то запроса на авторизацию не появляется и получаю сообщение об ошибке:
Если делаю прокси прозрачным, то запроса на авторизацию не появляется и получаю сообщение об ошибке:
Код: Выделить всё
При получении URL http://ya.ru/ произошла следующая ошибка
Доступ к кэшу запрещён.
Извините, Вы не можете запросить http://ya.ru/ из этого кэша до тех пор, пока не пройдёте аутентификацию.
Если у Вас возникли проблемы с аутентификацией, пожалуйста, свяжитесь с администратором кэша или смените Ваш пароль по умолчанию.