FreeBSD + PF +SQUID + авторизация в AD. Это возможно?

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
vasyun
проходил мимо

FreeBSD + PF +SQUID + авторизация в AD. Это возможно?

Непрочитанное сообщение vasyun » 2008-10-21 10:37:05

Извиняюсь, если не заметил где-то похожего поста. Вроде везде облазил, но конкретно этого вопроса, а тем более ответа не видел. Если ошибаюсь то киньте плиз ссылку и тогда тему можно закрывать.

Появилось желание избавиться от MS ISA. Из того что удалось нагуглить в голове складывается следующая картина. В качестве файервола можно использовать к примеру PF. В качестве прокси-кэша SQUID. Поставил, попробовал, сложностей не возникло. Для нормальной совместной работы SQUID пришлось перевести в режим transparent. Считалки трафика то же можно найти, хотя с выбором пока не определился. Дальше появлось желание авторизовывать пользователей на сквиде и считать трафик по пользователям, а не по ip-шникам. Выяснилось что авторизация NTLM (basic скорее всего тоже) на SQUID в прозрачном режиме невозможна. Если я правильно понял, то на одной машине такую связку не собрать. И для реализации такого проекта SQUID нужно будет выносить на отдельный сервер.

У меня вопрос: "я прав или ошибаюсь в том, что такую связку на одном сервере на собрать"?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Людвих Аристархович
проходил мимо

Re: FreeBSD + PF +SQUID + авторизация в AD. Это возможно?

Непрочитанное сообщение Людвих Аристархович » 2008-10-21 13:04:44

Сделай не прозрачный прокси ) если честно не понимаю почему все любят прозрачный...через GPO в АД можно поставить всем свой не прозрачный прокси по-дефолту в IE, опять же намного удобней авторизовывать юзеров по доменным логинам а не по ИП.

vasyun
проходил мимо

Re: FreeBSD + PF +SQUID + авторизация в AD. Это возможно?

Непрочитанное сообщение vasyun » 2008-10-21 14:23:00

Людвих Аристархович писал(а):Сделай не прозрачный прокси ) если честно не понимаю почему все любят прозрачный...через GPO в АД можно поставить всем свой не прозрачный прокси по-дефолту в IE, опять же намного удобней авторизовывать юзеров по доменным логинам а не по ИП.
Именно так я и планировал сделать. Но что делать с программами которые не используют настройки прокси из IE, или как быть в случае мозилы, пользователь может прокси и не выставлять в ней. Тогда есть желание принудительно заворачивать этот трафик на SQUID средствами например PF. А вот этот вариант мне удался либо в режиме транспарент прокси без авторизации, либо никак. Поэтому и спрашиваю, возможно ли вообще использовать связку PF+SQUID+авторизаци в AD, или я просто где то ошибся в конфигах поэтому и не смог получить желаемого результата.

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: FreeBSD + PF +SQUID + авторизация в AD. Это возможно?

Непрочитанное сообщение freeman » 2008-10-21 14:46:50

vasyun писал(а):
Людвих Аристархович писал(а):Сделай не прозрачный прокси ) если честно не понимаю почему все любят прозрачный...через GPO в АД можно поставить всем свой не прозрачный прокси по-дефолту в IE, опять же намного удобней авторизовывать юзеров по доменным логинам а не по ИП.
Именно так я и планировал сделать. Но что делать с программами которые не используют настройки прокси из IE, или как быть в случае мозилы, пользователь может прокси и не выставлять в ней. Тогда есть желание принудительно заворачивать этот трафик на SQUID средствами например PF. А вот этот вариант мне удался либо в режиме транспарент прокси без авторизации, либо никак. Поэтому и спрашиваю, возможно ли вообще использовать связку PF+SQUID+авторизаци в AD, или я просто где то ошибся в конфигах поэтому и не смог получить желаемого результата.
Когда сам таким заморачивался, нашёл что нельзя транспарент прокси и ntlm аутентификацию подружить. И даже PF тут не поможет.
AD с её политиками лучший "заворачиватель". А програмок, которые не используют настройки из IE гораздо меньше чем тех что с ntlm не дружат, так что им эти варианты равноодинаковы.
Остатся должен только один ...

Аватара пользователя
pomaskin
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-11-15 16:08:13
Откуда: Красноярск
Контактная информация:

Re: FreeBSD + PF +SQUID + авторизация в AD. Это возможно?

Непрочитанное сообщение pomaskin » 2010-05-24 10:58:24

Привязал к squid авторизацию из AD. Если указать прокси в браузере, то все работает отлично.
Если делаю прокси прозрачным, то запроса на авторизацию не появляется и получаю сообщение об ошибке:

Код: Выделить всё

При получении URL http://ya.ru/ произошла следующая ошибка
Доступ к кэшу запрещён.
Извините, Вы не можете запросить http://ya.ru/ из этого кэша до тех пор, пока не пройдёте аутентификацию.
Если у Вас возникли проблемы с аутентификацией, пожалуйста, свяжитесь с администратором кэша или смените Ваш пароль по умолчанию.