forum.lissyara.su

В данный момент работает довольно сумасшедшая связка доступа пользователей в инет.
Есть Cisco ASA. На eth0 и eth1 - висят внешние сети (failover через sla), eth2 - dmz, eth3 - внутренняя сеть. в dmz стоит прокси squid с sams-ом с авторизацией по ip, на нем же настроены acl-ы для юзверей. На пользовательских ПК настроено L2TP IPSEC подключение к Cisco ASA с авторизацией из радиуса. в IE прописан адрес прокси.
Хотелось бы этот бардак привести в порядок и оптимизировать

Как хотелось бы что бы это добро выглядело:
Пользователь подключается через L2TP IPSEC к Cisco ASA с авторизацией в AD (ну или хотя бы что бы пользователь брался от-туда). На основе группы/имени пользователя вешать на на него ACL-ы ограничивающие доступ к определенным сайтам (либо дающие неограниченный доступ). Ну и прозрачное проксирование на сквид для обработки страничек режиком.

А теперь вопрос:
Возможно ли это организовать, и если да - подкиньте ссылки на циско.ком, либо еще куда.

Вы в этой цепочке хотите прокси оставить или убрать ?
Гляньте вот этот документ. Надеюсь он поможет
http://www.cisco.com/en/US/docs/securit ... #wp1043588

И вот еще
http://www.cisco.com/en/US/docs/securit ... #wp1094668
http://www.cisco.com/en/US/docs/securit ... #wp1574952
Настройка аутентификации с LDAP и Radius
Если будете организовывать прозрачное проксирование ASA wccp + Squid не забудьте обновить ASA до версии 8.2(2),иначе будут проблемы.

про лдап спасибо - принцип ясен.

в acl нельзя указывать url, как же тогда ограничивать пользователя по списку разрешенных узлов? есть ли какие решения этой проблемы?

Вы в этой цепочке хотите прокси оставить или убрать?

хочу оставить его только в качестве кеша с банерорезалкой (rejik)

в acl нельзя указывать url, как же тогда ограничивать пользователя по списку разрешенных узлов? есть ли какие решения этой проблемы?

Первое что пришло в голову - squidGuad + cвоя бд по адресам.

DenisKh писал(а):

в acl нельзя указывать url, как же тогда ограничивать пользователя по списку разрешенных узлов? есть ли какие решения этой проблемы?

Первое что пришло в голову - squidGuad + cвоя бд по адресам.

ай, это не то... идея в том, что б на самом прокси сервере ничего не настраивать, а все рулить с асы. дело в том, что юзвери делятся на 3 группы: 1. неограниченный доступ, 2. доступ только к одной определенной онлайн службе, 3. самая проблемная, ее и группой назвать сложно, т.к. это группа пользователей каждый юзверь которой имеет доступ к своему уникальному списку узлов.

К сожалению или счастью циска работает только с узлами в сети..а не с пользователями
В том контексте который вы описали хорошо будет работать Microsoft ISA , у нее работа с "людьми" лучше налажена

DenisKh писал(а):В том контексте который вы описали хорошо будет работать Microsoft ISA

шутник
нашел я решение у Cisco отвечающее практически всем моим требованиям - Cisco ACS. остался единственный вопрос: в acl только ip адреса можно использовать, а мне нужно ограничивать по url-ам. т.к. при смене ip узла придется править acl-ы.

видимо без сквида не обойтись...

На счет Ms ISA не шутил,просто надо уметь готовить.
А что касательно ACS то он вроде как платный. И схема получится не чуть ни проще )

DenisKh писал(а):На счет Ms ISA не шутил,просто надо уметь готовить.

да я к том, что здесь микрософт особо рекламировать не стоит

DenisKh писал(а):А что касательно ACS то он вроде как платный.

да, и стоит оч немало.

DenisKh писал(а):И схема получится не чуть ни проще )

почему же? можно будет рулить авторизацией не только на асе, но и на остальных кошачьих девайсах. юзвери из AD будут браться, да и ACL можно "пофамильно" назначать (есть сервисы, которые крутятся в DMZ и есть юзвери в локалке, которым надо иметь к ним доступ).

в общем надо еще изучать. главное возможность авторизации из AD есть

ха... вроде нашел... оказывается есть у асы возможность фильтровать по урлу:
https://supportforums.cisco.com/docs/DO ... 1195.node0

Такая фильтрация может дать очень сильную нагрузку на кошку..
Если нужна фильтрация то так же можно посмотреть в сторону WebSense..Но у них подписка платная

DenisKh писал(а):Такая фильтрация может дать очень сильную нагрузку на кошку..
Если нужна фильтрация то так же можно посмотреть в сторону WebSense..Но у них подписка платная

ну сейчас нагрузка по процу при пиках - не выше 10%. думаю производительности хватит. про вебсенс - почитаю, спасибо за наводку.

Вебсенс это тот же SquidGuard - только за деньги

ладно - что-то я смотрю, ничего проще чем сейчас не получается... ну только авторизацию из AD прикрутить

Ну вобщем я это сразу и сказал Обычно так всегда получается
Хочется как проще а получается как всегда