LINUX.ORG.RU
ФорумAdmin

Разграничение доступа в Инет с терминальных станций.


0

1

Есть Windows терминальный сервер. Есть терминальные клиенты.
Есть Linux сервер для доступа в Inet.
Выход в инет для обычных пользователей настроен через VPN соединение.
Как настроить выход в инет с разграничением доступа у терминальных клиентов.
Знаю один способ: Через аудентификацию SQUID. Но тогда возможно ли настроить на одном SQUID- что бы был и прозрачный прокси для одних пользователей и аудентификация для других.
Может еще как нибудь можно?


Ответ на: комментарий от power

А при чем тут виндовый сервер. Настраиваем у клиентов в браузере прокси (Имя входа и пароль у каждого свои). А разграничение доступа на Linux сервере.
Недостаток - работает только в http протоколом. Остальные, имхо, так не настроить.

mnk ()
Ответ на: комментарий от mnk

А при чем тут виндовый сервер.

Вот при этом:

Недостаток - работает только в http протоколом. Остальные, имхо, так не настроить.

Для венды есть ISA, который может разграничить доступ по пользователям. Возможно, есть что-нибудь полегче (и подешевле), но я не слышал и винфак.

power ()
Ответ на: комментарий от power

Да мне хотя бы HTTP ограничить.
Придется похоже поднимать второй демон прокси на Linux сервере с аутентификацией

mnk ()

Кто выступает vpn сервером? Если линуха, то привяжи ip к имени логина и будет тебе счастье.

zloelamo ★★★★ ()
Ответ на: комментарий от zloelamo

Дык он и так привязан. Но если из терминала один из пользователей зайдет в инет по vpn, то остальные автоматом получат доступ в инет - разве не так.

mnk ()
Ответ на: комментарий от mnk

А, аутентификацию в сквиде требовать только для одного IP, на котором сервер терминалов. Кому повезло (кто за этой машиной сидит), тоже нужно будет авторизироваться.

lvi ★★★★ ()

я у себя не придумал ничего иного, как поднять второй сквид на виртуалке. места не занимает и ресурсов почти не требует.

fbiagent ★★★ ()
Ответ на: комментарий от mnk

Хз. Я винду не знаю. Твоя проблема лежит в виндовом терминале, а это надо на другой сайт.

zloelamo ★★★★ ()
Ответ на: комментарий от power

Для венды есть ISA, который может разграничить доступ по пользователям.

Матчасть, матчасть... Не может он этого сделать в описанной ситуации. Ибо для прозрачной аутентификации по пользователям необходим Firewall Client - а он не живёт, как надо, на терминальном сервере.

Cyril ★★ ()

Подними второй экземпляр сквида с аудентификацией на другом порту, первый сквид пусть будет прозрачный для остальных...

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от Cyril

Матчасть, матчасть... Не может он этого сделать в описанной ситуации. Ибо для прозрачной аутентификации по пользователям необходим Firewall Client - а он не живёт, как надо, на терминальном сервере

Я конечно не специалист и не админ, но именно такая схема имхо жила в одной конторе «рога и копыта»...

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от vasya_pupkin

Терминальный сервер Microsoft и разделение доступа в Интернет для его пользователей на ISA Server/ForeFront TMG? Думаю, что вы чего-то не так запомнили.

Cyril ★★ ()

годик назад я бы посоветовал тебе NuFw, но щаз проект переживает не лучшие времена...

Pinkbyte ★★★★★ ()
Ответ на: комментарий от lvi

А, аутентификацию в сквиде требовать только для одного IP, на котором сервер терминалов. Кому повезло (кто за этой машиной сидит), тоже нужно будет авторизироваться.

Недостаток данной схемы, что всем остальным в браузере тоже нужно будет прописывать прокси сервер. Те он не будет прозрачным.

После дебатов склоняюсь к варианту поднятия второго варианта squid на другом порту. Единственный недостаток, который остается у данной схемы, это или не возможность, в зависимости от настроек фаервола работать в инете с другими протоколами, кроме http(s). но это уже не так и важно.

mnk ()
Ответ на: комментарий от power

Для венды есть ISA, который может разграничить доступ по пользователям. Возможно, есть что-нибудь полегче

UserGate вроде может. С одной стороны все денег стоит, с другой - сам терминальный сервер не дешевый.

lvi ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.