URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1070
[ Назад ]
Исходное сообщение
"система авторизации пользователей для доступа к NAT+SQUID+SA..."
Отправлено Roaming , 23-Дек-03 13:39 
Прошу помощи !!!

Сложилась такая ситуация:
Сервер под управлением FreeBSD 4.7/На нем стои куча сервисов (NAT+SQUID+SAMBA+FTP+Apache), люди в локальной сети имеют закрепленные IP и MAC адреса (ARP скриптом). НО КАК МОЖНО УСТРОИТЬ АВТОРИЗАЦИЮ ЭТИХ САМЫХ ПОЛЬЗОВАТЕЛЕЙ (ведь не для кого не секрет, что IP и MAC это не система защиты) ДЛЯ ДОСТУПА К ЭТИМ РЕСУРСАМ ??? ТАК ЧТОБ ОДИН ПАРОЛЬ ОТКРЫВАЛ СЕССИЮ О ОТСЛЕЖИВАЛ КОГДА ТОТ ИЛИ ИНОЙ ПОЛЬЗОВАТЕЛЬ ЗАКОНСИТ СВОЮ РАБОТУ. Проблема даже не в SQUID √е SAMBE (FTP/Apache)┘. А в NAT ведь там только закрепление за IP.
Кто сталкивался поделитесь горьким опытом....  ╝

Содержание
Сообщения в этом обсуждении
"система авторизации пользователей для доступа к NAT+SQUID+SA..."
Отправлено Michael , 23-Дек-03 14:29 
>А в NAT ведь
>там только закрепление за IP.
а зачем NAT, если есть сквид?
для почты существуют свои SMTP-прокси
"система авторизации пользователей для доступа к NAT+SQUID+SA..."
Отправлено Roaming , 23-Дек-03 16:18 
>>А в NAT ведь
>>там только закрепление за IP.
>а зачем NAT, если есть сквид?
>для почты существуют свои SMTP-прокси

А как на счет разных сервисов типо ssh,telnet,pop3,... и вся кого такого, что может прити в голову user -у  ... Не дай Бог, что б им еще и весь спектр от 1 до 65535 портов ....  
Если можно по подробнее о SMTP POP proxy...

"система авторизации пользователей для доступа к NAT+SQUID+SA..."
Отправлено ovix , 24-Дек-03 13:50 
>Прошу помощи !!!
>
>Сложилась такая ситуация:
>Сервер под управлением FreeBSD 4.7/На нем стои куча сервисов (NAT+SQUID+SAMBA+FTP+Apache), люди в
>локальной сети имеют закрепленные IP и MAC адреса (ARP скриптом). НО
>КАК МОЖНО УСТРОИТЬ АВТОРИЗАЦИЮ ЭТИХ САМЫХ ПОЛЬЗОВАТЕЛЕЙ (ведь не для кого
>не секрет, что IP и MAC это не система защиты) ДЛЯ
>ДОСТУПА К ЭТИМ РЕСУРСАМ ??? ТАК ЧТОБ ОДИН ПАРОЛЬ ОТКРЫВАЛ СЕССИЮ
>О ОТСЛЕЖИВАЛ КОГДА ТОТ ИЛИ ИНОЙ ПОЛЬЗОВАТЕЛЬ ЗАКОНСИТ СВОЮ РАБОТУ. Проблема
>даже не в SQUID √е SAMBE (FTP/Apache)┘. А в NAT ведь
>там только закрепление за IP.
>Кто сталкивался поделитесь горьким опытом....  ╝

Я так понимаю, что интересует АУТЕНТИФИКАЦИЯ (проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности), а не АВТОРИЗАЦИЯ (проверка и определение полномочий на выполнение каких-либо действий в соответствии с ранее выполненной аутентификацией, - авторизация проходит только для аутентифицированного пользователя). Так вот, аутентификация бывает 3-х видов: пользователя (только telnet, ftp,rlogin и HTTP), сессии (для каждой сессии, например, открытие HTTP-сессии через IEexplorer каждый раз) и клиента (по IP). Сейчас у вас работает аутентификация клиентов. Для аутентификации сессии можно настроить SQUID, тогда для выходя в Инет в окне explorer-а будет появляться табличка ввода логина и пароля, но после закрытия explorer-а и открытия его табличка для ввода появится опять.
Если интересует именно АВТОРИЗАЦИЯ, причем, наверно, Windows-пользователей, и централизованно, то возможна установка LDAP-каталога (Microsoft Active Directory, Novell E-Directoy) и посредством него давать права аутентифицированным пользователям, вошедшим в "домен".Для решения задачи, чтоб только АВТОРИЗОВАННЫЕ в "домене" пользователи ходили в Инет, есть программное обеспечение, например CheckPoint User Authority.

под FreeBSD вряд-ли еть готовые решения для аутентификации сессий по всем сервисам, кроме SQUID-proxy, sendmail - в роли mail-relay сервера.

"система авторизации пользователей для доступа к NAT+SQUID+SA..."
Отправлено Roaming , 24-Дек-03 17:01 
У меня тут идея возникла, что если это все сделать через vpn ???
Авторизация возможность работы с трафиком... Да и безопасность можно настроить....
Если б еще пример настройки VPN сервера найти ....