URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 64215
[ Назад ]

Исходное сообщение
"Выход в интернет не веб-траффика по авторизации пользователей из AD"
Отправлено Tuz , 16-Фев-06 18:35

Господа!
Помогите решить следующую проблему!
Есть сеть, в качестве прокси стоит squid, настроена авторизация в AD. Весь фтп и http траффик строго расписан по пользователям кому и куда можно.
Но вот возникла проблема - не веб траффик (например smtp, pop3, ssh, telnet и т.д.) - можно ли давать разрешения на выход по этим протоколам в интернет
строго по пользователям из AD. Т.е. нужно создавать правила вида "тов. Иванову с любого компа телнетом можно", "тов Сидорову с вот этого компа smtp можно только на этот сайт"
MS ISA так умеет, а вот как это можно реализовать в мире OpenSource?
Спасибо!

Содержание

Выход в интернет не веб-траффика по авторизации пользователе...,Skif, 18:45 , 16-Фев-06
- Выход в интернет не веб-траффика по авторизации пользователе...,Tuz, 23:02 , 16-Фев-06
  - Выход в интернет не веб-траффика по авторизации пользователе...,Skif, 23:55 , 16-Фев-06
  - Выход в интернет не веб-траффика по авторизации пользователе...,satelit, 05:08 , 17-Фев-06

Сообщения в этом обсуждении

"Выход в интернет не веб-траффика по авторизации пользователе..."
Отправлено Skif , 16-Фев-06 18:45

Что-то пододное есть:
http://www.opennet.me/base/sec/authpf_auth.txt.html
но проще все реализовать через VPN

"Выход в интернет не веб-траффика по авторизации пользователе..."
Отправлено Tuz , 16-Фев-06 23:02

>Что-то пододное есть:
>http://www.opennet.me/base/sec/authpf_auth.txt.html
>
>но проще все реализовать через VPN
Извините, но вы немного наверное недопоняли проблему...
Суть в том, чтобы пользователей с windows пускать в инет (по разным протоколам (НЕ ВЕБ)) основываясь на их авторизации из AD.
еще раз повторюсь, грубо говоря, я ищу аналог firewall MS ISA, который умеет авторизовывать пользователей из домена, и следуя набору правил давать или запрещать доступ по выбранным (не веб) протоколам для конкретных пользователей из AD.

"Выход в интернет не веб-траффика по авторизации пользователе..."
Отправлено Skif , 16-Фев-06 23:55

>еще раз повторюсь, грубо говоря, я ищу аналог firewall MS ISA, который
>умеет авторизовывать пользователей из домена, и следуя набору правил давать или
>запрещать доступ по выбранным (не веб) протоколам для конкретных пользователей из
>AD.

Да нет, я понял сразу что вы имели, просто привел данный вариант решения. Увы, по крайней мере под bsd ничего подобного не встречал, так что бы автоматом хватало настройки из AD и пущало в мир и прочая. Увы AD в мире *nix пока стойкая приблуда, хотя полезности в том же ISA имеются и очень даже интересные. например хорошая совместимость с тем же MSSQL для выгрузки логов и прочая.
Единственное, что могу посоветовать - писать свою софтину и завязывать ее авторизацию через pam/samba(winbind). Хотя это думаю не серьезно в вашем случае. проще поставить туже ISA как промежуток между вашей сеткой и шлюзом(встречал такие решения), если не доверяете решениям от MS в плане безопасности в инете.

"Выход в интернет не веб-траффика по авторизации пользователе..."
Отправлено satelit , 17-Фев-06 05:08

Правильно сказали, VPN надо использовать, с подвязкой на RADIUS, а он уже авторизует пользователя по AD, где-то в нем видел такую приблуду.