forum.lissyara.su

Извиняюсь, если не заметил где-то похожего поста. Вроде везде облазил, но конкретно этого вопроса, а тем более ответа не видел. Если ошибаюсь то киньте плиз ссылку и тогда тему можно закрывать.

Появилось желание избавиться от MS ISA. Из того что удалось нагуглить в голове складывается следующая картина. В качестве файервола можно использовать к примеру PF. В качестве прокси-кэша SQUID. Поставил, попробовал, сложностей не возникло. Для нормальной совместной работы SQUID пришлось перевести в режим transparent. Считалки трафика то же можно найти, хотя с выбором пока не определился. Дальше появлось желание авторизовывать пользователей на сквиде и считать трафик по пользователям, а не по ip-шникам. Выяснилось что авторизация NTLM (basic скорее всего тоже) на SQUID в прозрачном режиме невозможна. Если я правильно понял, то на одной машине такую связку не собрать. И для реализации такого проекта SQUID нужно будет выносить на отдельный сервер.

У меня вопрос: "я прав или ошибаюсь в том, что такую связку на одном сервере на собрать"?

Сделай не прозрачный прокси ) если честно не понимаю почему все любят прозрачный...через GPO в АД можно поставить всем свой не прозрачный прокси по-дефолту в IE, опять же намного удобней авторизовывать юзеров по доменным логинам а не по ИП.

Людвих Аристархович писал(а):Сделай не прозрачный прокси ) если честно не понимаю почему все любят прозрачный...через GPO в АД можно поставить всем свой не прозрачный прокси по-дефолту в IE, опять же намного удобней авторизовывать юзеров по доменным логинам а не по ИП.

Именно так я и планировал сделать. Но что делать с программами которые не используют настройки прокси из IE, или как быть в случае мозилы, пользователь может прокси и не выставлять в ней. Тогда есть желание принудительно заворачивать этот трафик на SQUID средствами например PF. А вот этот вариант мне удался либо в режиме транспарент прокси без авторизации, либо никак. Поэтому и спрашиваю, возможно ли вообще использовать связку PF+SQUID+авторизаци в AD, или я просто где то ошибся в конфигах поэтому и не смог получить желаемого результата.

vasyun писал(а):

Людвих Аристархович писал(а):Сделай не прозрачный прокси ) если честно не понимаю почему все любят прозрачный...через GPO в АД можно поставить всем свой не прозрачный прокси по-дефолту в IE, опять же намного удобней авторизовывать юзеров по доменным логинам а не по ИП.

Именно так я и планировал сделать. Но что делать с программами которые не используют настройки прокси из IE, или как быть в случае мозилы, пользователь может прокси и не выставлять в ней. Тогда есть желание принудительно заворачивать этот трафик на SQUID средствами например PF. А вот этот вариант мне удался либо в режиме транспарент прокси без авторизации, либо никак. Поэтому и спрашиваю, возможно ли вообще использовать связку PF+SQUID+авторизаци в AD, или я просто где то ошибся в конфигах поэтому и не смог получить желаемого результата.

Когда сам таким заморачивался, нашёл что нельзя транспарент прокси и ntlm аутентификацию подружить. И даже PF тут не поможет.
AD с её политиками лучший "заворачиватель". А програмок, которые не используют настройки из IE гораздо меньше чем тех что с ntlm не дружат, так что им эти варианты равноодинаковы.

Привязал к squid авторизацию из AD. Если указать прокси в браузере, то все работает отлично.
Если делаю прокси прозрачным, то запроса на авторизацию не появляется и получаю сообщение об ошибке: