Re: прозрачное проксирование -SQUID и авторизация

2010-05-20 Пенетрантность Sapytsky Ilya
20 мая 2010 г. 9:45 пользователь Игорь Чумак написал:

> Sapytsky Ilya пишет:
>
>> -куть
>>
>>
>>
>>windind'ом спросить у контроллера домена, кто сидит на данном
>>IP и пускать в
>>зависимости от этого ?
>>
>>
>>
>>Не годится. На данном IP сидит терминальный сервер с сотней
>>пользователей.
>>
>> толи я что-то не понимаю, толи Вы не знаете принципов работы winbindd.
>> У меня вполне нормально сидят пользователи с терминального сервера в инете
>> и инет доступен только тем, кому рассказано в AD.
>> Я что-то неправильно делал?
>>
> ХЗ.
> Если " windind'ом спросить у контроллера домена, кто сидит на данном IP"
> (конец цытаты) - что контроллер должен ответить (в случае, когда это таки
> терминальный сервер с сотней пользователей)?
> Или вы ntlm_auth использовали?
>
пользовался и тем и другим, выбирая что лучше еще со времен sarge. Когда
обновил сервер со сквидом до Squeeze - был приятно удивлен, что там
напильник и бубен уже не нужны, поэтому сейчас ntlm_auth "искаропки".


Re: прозрачное проксирование -SQUID и авторизация

2010-05-19 Пенетрантность Andrey Melnikoff
C S  wrote:


> ]  Тогда конфигурацию с wpad применять. Или через групповые политики.
> ]  

> настроил WPAD через вебсервер следующим образом:

> сопоставим корректный тип mime для скрипта автоматической настройки с 
> расширением .dat (добавим в конфиг веб-сервера строку):
> #vi /etc/apache2/httpd.conf
> AddType application/x-ns-proxy-autoconfig .dat


> $sudo /etc/init.d/apache2 reload

> $sudo touch /var/www/wpad.dat
> $sudo nano /var/www/wpad.dat
> function FindProxyForURL(url, host)
> {
> if (isInNet(host, "192.168.1.0", "255.255.255.0"))
> return "DIRECT";
> else
> return "PROXY 192.168.1.77:3180";
> }

> Скрипт будет передаваться браузеру при его запуске. Если запрошенный адрес 
> является локальным (сервер находится в вашей сети), то запрос к этому адресу 
> пойдет минуя прокси-сервер, в то время как все прочие запросы будут им 
> обработаны. 

> В Internet Explorer выставляется Сервис->Свойства 
> Обозревателя->Подключения->Настройка сети->
> Использовать сценарий автоматической 
> настройки->Адрес:http://192.168.1.77/wpad.dat
Изврат конечно, через политики - проще.

> и теперь, заходя, например на http://www.whatismyip.com/ видим
> Your IP Address Is: 78.25.39.xx
> Possible Proxy Detected: 1.1 localhost (squid/3.1.3)

> теперь получается в squid.conf указать http_port 3128 (убрать http_port 
> 192.168.1.77:3180 transparent ), 
> squid3 -k reconfigure
> а по поводу авторизации пользователей по группам из Active Directory куда 
> дальше копать?
google://squid+AD+ntlm_auth


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/g24dc7-dob@kenga.kmv.ru



Re: Re: Re: прозрачное проксирование -SQUID и авторизация

2010-05-19 Пенетрантность C S



]  теперь получается в squid.conf указать http_port 3128 (убрать http_port 
192.168.1.77:3180 transparent ), 
]  squid3 -k reconfigure
]  а по поводу авторизации пользователей по группам из Active Directory куда 
дальше копать?

в squid.conf указать параметры auth_param ntlm   ?
  
  
BR,
Чертов Вячеслав.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/543311274273...@web105.yandex.ru



Re: Re: прозрачное проксирование -SQUID и авторизация

2010-05-19 Пенетрантность C S


]  Тогда конфигурацию с wpad применять. Или через групповые политики.
]  

настроил WPAD через вебсервер следующим образом:

сопоставим корректный тип mime для скрипта автоматической настройки с 
расширением .dat (добавим в конфиг веб-сервера строку):
#vi /etc/apache2/httpd.conf
AddType application/x-ns-proxy-autoconfig .dat


$sudo /etc/init.d/apache2 reload

$sudo touch /var/www/wpad.dat
$sudo nano /var/www/wpad.dat
function FindProxyForURL(url, host)
{
if (isInNet(host, "192.168.1.0", "255.255.255.0"))
return "DIRECT";
else
return "PROXY 192.168.1.77:3180";
}

Скрипт будет передаваться браузеру при его запуске. Если запрошенный адрес 
является локальным (сервер находится в вашей сети), то запрос к этому адресу 
пойдет минуя прокси-сервер, в то время как все прочие запросы будут им 
обработаны. 

В Internet Explorer выставляется Сервис->Свойства 
Обозревателя->Подключения->Настройка сети->
Использовать сценарий автоматической 
настройки->Адрес:http://192.168.1.77/wpad.dat

и теперь, заходя, например на http://www.whatismyip.com/ видим
Your IP Address Is: 78.25.39.xx
Possible Proxy Detected: 1.1 localhost (squid/3.1.3)

теперь получается в squid.conf указать http_port 3128 (убрать http_port 
192.168.1.77:3180 transparent ), 
squid3 -k reconfigure
а по поводу авторизации пользователей по группам из Active Directory куда 
дальше копать?

BR,
Чертов Вячеслав.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/155441274269...@web131.yandex.ru



Re: прозрачное проксирование -SQUID и авторизация

2010-05-18 Пенетрантность Sapytsky Ilya
18 мая 2010 г. 17:38 пользователь Игорь Чумак написал:

> Andrey Melnikoff пишет:
>
>  C S  wrote:
>>
>>
>>> День добрый,
>>>
>>>
>>
>>
>>
>>> squid работает в прозрачном режиме в связке c WCCP на cisco-1811.
>>> Погуглил по поводу ntlm-авторизации - в некоторых источниках указано, что
>>> при прозрачном проксировании авторизация невозможна и баста ..((
>>> причины никто не указал..(может плохо гуглил...)
>>>
>>>
>> Всё очень просто - прокся не знает, это для нее пароль или для
>> проксируемого
>> сайта.
>>
>>
>>
>>> Подскажите плз, да или нет, возможна ли авторизация пользователей, при
>>> которой войдя в домен в Internet Explorer не нужно будет указывать логин и
>>> пароль при прозрачном проксировании
>>>
>>>
>>
>> windind'ом спросить у контроллера домена, кто сидит на данном IP и пускать
>> в
>> зависимости от этого ?
>>
>>
>>
>>
> Не годится. На данном IP сидит терминальный сервер с сотней пользователей.
>
толи я что-то не понимаю, толи Вы не знаете принципов работы winbindd.
У меня вполне нормально сидят пользователи с терминального сервера в инете и
инет доступен только тем, кому рассказано в AD.
Я что-то неправильно делал?


Re: прозрачное проксирование -SQUID и авторизация

2010-05-18 Пенетрантность Andrey Melnikoff
Игорь Чумак  wrote:
> >> squid работает в прозрачном режиме в связке c WCCP на cisco-1811.
> >> Погуглил по поводу ntlm-авторизации - в некоторых источниках указано, что 
> >> при прозрачном проксировании авторизация невозможна и баста ..((
> >> причины никто не указал..(может плохо гуглил...)
> > Всё очень просто - прокся не знает, это для нее пароль или для проксируемого
> > сайта.
> >> Подскажите плз, да или нет, возможна ли авторизация пользователей, при 
> >> которой войдя в домен в Internet Explorer не нужно будет указывать логин и 
> >> пароль 
> >> при прозрачном проксировании
> > windind'ом спросить у контроллера домена, кто сидит на данном IP и пускать в
> > зависимости от этого ?
> Не годится. На данном IP сидит терминальный сервер с сотней пользователей.
Тогда конфигурацию с wpad применять. Или через групповые политики.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/l1rac7-a1c@kenga.kmv.ru



Re: Re: прозрачное проксирование -SQUID и авторизация

2010-05-18 Пенетрантность C S


]  я думаю Вам нужно что-то вроде этого:
]  
http://homepage.ntlworld.com./jonathan.deboynepollard/FGA/web-browser-auto-proxy-configuration.html
]  
действительно, насколько я понимаю это именно то, что нужно...
я вообще верно представляю ситуацию или где-то есть дополнения:

зачем нужен именно прозрачный прокси? Чтобы явно не прописывать настройки у 
каждого юзера и юзер в большинстве своём и не догадывался, что ходит через 
прокси, isn't it?
Если только для этого, то можно настроить автоопределение прокси. Это делается 
на сервере DNS посредством WPAD.
или настроить политиками безопасности на виндовом сервере принудительные 
параметры прокси
Всё верно или я что-то пропустил?


--
BR,
Чертов Вячеслав. 


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/324241274180...@web122.yandex.ru



Re: Re: прозрачное проксирование -SQUID и авторизация

2010-05-18 Пенетрантность C S

.
]  Это не возможно.
]  Смысл прозрачного проксирования при авторизации пропадает.
]  ну а ntlm авторизация и подразумевает, что пароль у вас спрашиваться не 
будет, 
]  а будет браться из AD.
]  
]  

Всё-таки окончательно не понимаю почему невозможно ((
когда пользователь зарегистрировался в Windows-домене - Internet Explorer 
автоматически принимает логин, пароль и домен, под которыми он в домене 
зарегистрировался...
 Т.о. с помощью NTLM-авторизации можно автоматически регистрироваться в SQUID 
без ручного подтверждения логина и пароля.

BR,
Чертов Вячеслав.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/307191274177...@web138.yandex.ru