LINUX.ORG.RU

Ответ на: комментарий от zgen

Требуется регулировать на линуксовой машине доступ в инет в зависимости не от ip-адреса или mac, а он логина на вход в домен, вне зависимости от того с какого компа юзер лезет в инет. Это осуществимо?

anonymous
()
Ответ на: комментарий от anonymous

Вроде squid можно настроить на такую авторизацию, то есть пустить всех в Инет через proxy... А вот, чтобы правила в iptables изменялись по login'у в AD я не слышал.

mky ★★★★★
()
Ответ на: комментарий от mky

> Вроде squid можно настроить на такую авторизацию, то есть пустить всех в Инет через proxy... А вот, чтобы правила в iptables изменялись по login'у в AD я не слышал.

Вообще как в линукс с AD подружить? Я видел сетевые RAID, там внутри заявлен линукс и они замечательно юзеров и группы из AD подхватывают...

anonymous
()
Ответ на: комментарий от anonymous

Да, это осуществимо, но в решении с SQUID получается привязка к Internet Explorer. В УрГУ на физическом факультете была осуществлена другая попытка, но она работает только с SAMBA, а не с AD. Вот идея:

В smb.conf прописываем для шары [Netlogon] параметр preexec=sudo /path/to/script, который вызывает скрипт на сервере при входе пользователя, и помещает имя пользователя в переменную SUDO_USER. Скрипт, если он запущен от root, извлекает IP пользователя $SUDO_USER с помощью команды smbstatus, и передает iptables (возможно, на другом компьютере - тогда по ssh) указание разрешить или запретить прохождение пакетов для данного IP. Удобным оказался модуль ipset, который доступен с http://www.netfilter.org/ . Осторожно - выход пользователя из сети, как "штатный", так и по причине пропадания электричества, отследить невозможно, и настройка будет распространяться и на следующего "локального" пользователя.

Только в конце от этой идеи отказались по нетехническим причинам (по-русски: не нашли весомую причину не пускать нарушителей в интернет техническими средствами, тогда как их можно просто выгнать из класса вручную).

AEP ★★★★★
()
Ответ на: комментарий от AEP

> Только в конце от этой идеи отказались по нетехническим причинам (по-русски: не нашли весомую причину не пускать нарушителей в интернет техническими средствами, тогда как их можно просто выгнать из класса вручную).

У нас не учебное заведение... Компы старые и ломаются, народ пересаживается периодически, просто увольняются-приходят... Всё управляется через AD, в общем-то удобно, но ISA глючит каждый день. А начальство при этом хочет разграничение прав на доступ в интернет и биллинг... Вот и думаем как своими силами отделаться от исы.

anonymous
()

почиай про LDAP и kerberos
не зацикливайся на AD
пользователи хранятся в LDAP

dimon555 ★★★★★
()
Ответ на: комментарий от anonymous

Посмотри на PPPoE/RADIUS. Реализует функциональность Firewall Client'а и не тащит за собой глюков последнего.

bakagaijin
()

Не стоит тебе делать то что ты задумал. Это имхо.

Но перенеся функционал иса и ад на юникс системы у тебя появится намного больше времени для друзей и пива.

paranormal ★★
()
Ответ на: комментарий от paranormal

А если сделать цепью? Samba(умеет авторизировать в системе пользователей из AD) --> Squid(ставишь параметр пропускать только авторизованных, т.е. тех, кто самбу прошел) --> а дальше общие фаервольные функции кидаешь на IPTables. А дальше виндовую сеть можно и от вирусов защищать Havp, если цепочку расширить

Alenzo
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.