Требуется регулировать на линуксовой машине доступ в инет в зависимости не от ip-адреса или mac, а он логина на вход в домен, вне зависимости от того с какого компа юзер лезет в инет. Это осуществимо?
Вроде squid можно настроить на такую авторизацию, то есть пустить всех в Инет через proxy... А вот, чтобы правила в iptables изменялись по login'у в AD я не слышал.
> Вроде squid можно настроить на такую авторизацию, то есть пустить всех в Инет через proxy... А вот, чтобы правила в iptables изменялись по login'у в AD я не слышал.
Вообще как в линукс с AD подружить? Я видел сетевые RAID, там внутри заявлен линукс и они замечательно юзеров и группы из AD подхватывают...
Да, это осуществимо, но в решении с SQUID получается привязка к Internet Explorer. В УрГУ на физическом факультете была осуществлена другая попытка, но она работает только с SAMBA, а не с AD. Вот идея:
В smb.conf прописываем для шары [Netlogon] параметр preexec=sudo /path/to/script, который вызывает скрипт на сервере при входе пользователя, и помещает имя пользователя в переменную SUDO_USER. Скрипт, если он запущен от root, извлекает IP пользователя $SUDO_USER с помощью команды smbstatus, и передает iptables (возможно, на другом компьютере - тогда по ssh) указание разрешить или запретить прохождение пакетов для данного IP. Удобным оказался модуль ipset, который доступен с http://www.netfilter.org/ . Осторожно - выход пользователя из сети, как "штатный", так и по причине пропадания электричества, отследить невозможно, и настройка будет распространяться и на следующего "локального" пользователя.
Только в конце от этой идеи отказались по нетехническим причинам (по-русски: не нашли весомую причину не пускать нарушителей в интернет техническими средствами, тогда как их можно просто выгнать из класса вручную).
> Только в конце от этой идеи отказались по нетехническим причинам (по-русски: не нашли весомую причину не пускать нарушителей в интернет техническими средствами, тогда как их можно просто выгнать из класса вручную).
У нас не учебное заведение... Компы старые и ломаются, народ пересаживается периодически, просто увольняются-приходят... Всё управляется через AD, в общем-то удобно, но ISA глючит каждый день. А начальство при этом хочет разграничение прав на доступ в интернет и биллинг... Вот и думаем как своими силами отделаться от исы.
А если сделать цепью? Samba(умеет авторизировать в системе пользователей из AD) --> Squid(ставишь параметр пропускать только авторизованных, т.е. тех, кто самбу прошел) --> а дальше общие фаервольные функции кидаешь на IPTables. А дальше виндовую сеть можно и от вирусов защищать Havp, если цепочку расширить