forum.lissyara.su

помогите выбрать авторизацию, хочу сделать прозрачный прокси
и тут я думаю сделать или с авторизацией в ад 2003 или по ип, только вот у меня dhcp выдает адреса боюсь ип смениться и тогда придется заново все прописывать, а с ад я не в курсе глючно будет или нет работать

Time писал(а):помогите выбрать авторизацию, хочу сделать прозрачный прокси
и тут я думаю сделать или с авторизацией в ад 2003 или по ип, только вот у меня dhcp выдает адреса боюсь ип смениться и тогда придется заново все прописывать, а с ад я не в курсе глючно будет или нет работать

Если вы о squd'е, то в нем авторизация и прозрачный прокси несовместимы.... Вы либо сделайте непрозрачный проксик, но с учетом того что у вас есть AD сделайте интегрированную ntlm-авторизацию, тогда у клиента надо будет прописать проксик в IE, либо заставьте squid разрешать ip в имена компов, они то точно у вас неизменны.

авторизация исключает прозрачность и наоборот

boor писал(а):авторизация исключает прозрачность и наоборот

тогда какой смысл в этом прозрачном прокси, если можно просто тупо как шлюз прописать и врубить нат?

Можно. Но прокси будет кешировать трафик, со всеми вытекающими.

boor писал(а):Можно. Но прокси будет кешировать трафик, со всеми вытекающими.

вы имеете ввиду то что кеширование дает экономию трафика, но и у этого метода есть свои минусы

Да я и не спорю.
Я о том, что прозрачный проксик, это когда не нужно никаких настроек прописывать, в большинстве случаев пользователи скорее даже и не в курсе, что трафик проксируется. А вот если выскочит окошко авторизации, то какой же он тогда прозрачный? Я вот об этом говорю.

А в вашем случае лучше, на мой взгляд, сделать ntlm авторизацию. Все IE, если такие есть, можно сконфигурировать политиками из АД, ФФ тот же можно централизованно конфигурить через файл настройки. В нормальных условиях работает достаточно стабильно.

Time писал(а):

boor писал(а):авторизация исключает прозрачность и наоборот

тогда какой смысл в этом прозрачном прокси, если можно просто тупо как шлюз прописать и врубить нат?

В получении статистики по http к примеру... разграничение по скорости в зависимости куда идут и кто идет, например обращение к банку на полной скорости с заниманием всей полосы канала, а вот mp3 и прочие подобные файлы пусть качаются с малой скоростью...

ну наверное остановлюсь на вашей идее, спасибо

объясните мне чем отличается авторизация ntml и ldap

Time писал(а):объясните мне чем отличается авторизация ntml и ldap

Авторизация она и есть авторизация, а отличаются источником авторизации, в первом случае AD или samba в качестве PDC, во втором сервер Ldap...

ну логин и пароль надо будет вбивать или все будет браться из ад и прописать прокси в браузере в браузере

Time писал(а):ну логин и пароль надо будет вбивать или все будет браться из ад и прописать прокси в браузере в браузере

Если вы используете IE, то там в свойствах IE есть пункт использовать интегральную виндовую аутенфикацию, кажется так, и если
1. у вас сквид на нее настроен
2.в свойствах IE стоит проксик и его порт
3. стоит эта галочка
То аутенфикация пользователя на сквиде будет проходить для него прозрачно, без окошек и запросов...

в случае с ntlm все будет проходить прозрачно, и не только с IE. У меня он вообще запрещен в сети. ФФ прекрасно работает с ntlm. ДА в общем-то много программ, которые могут авторизовываться по ntlm. Тут одна проблема - на клиенте должен быть прописан адрес прокси-сервера.
Про ldap ничего не скажу. Тут можно использовать ад как лдап хранилище, выгребать оттуда данные, а вот на сколько клиент (программа) сможет автоматически авторизоваться - не знаю, не приходилось сталкиваться с такой конструкцией.
Для автоматической авторизации как раз первый вариант и предназначен.