Этот сайт лучше всего просматривать в современном браузере с включённым JavaScript.

Двойная авторизация для доменных и недоменных пользователей

assguard

Здравствуйте!

В этой теме в комментариях я писал что настроил все по инструкции и все работает.

Спасибо Алексею за цикл подробных и понятных статей.

Но сейчас у меня две проблемы:

1. Помимо доменных пользователей есть пользователи ВНЕ домена и с личными устройствами - необходимо помимо ntlm-авторизации сделать так чтобы у них был доступ как у группы BlockedAccess или StandardAccess - иначе у них постоянно выскакивает окошко с вводом пароля.

2. Даже в домене периодически выскакивает окно с вводом пароля. Как пофиксить?

Прошу помощи, конфиг прилагаю.

Алексей Максимов

По п.1 можно например выделить все такие устройства в отдельную подсеть, создать в squid.conf для этой подсети ACL.

Добавляем ACL:

acl FullAccessComputers src       "/<full path>/conf_param_computers_fullacess.txt"

Добавляем правило разрешающее доступ без аутентификации:

# Allow direct access to All Sites

http_access allow FullAccessComputers

Главное, чтобы это правило шло до правила требующего обязательную аутентификацию (http_access deny !auth)

В файл conf_param_computers_fullacess.txt прописываем IP-адреса (по одному на кажой строчке) или подсети, например 10.10.10.0/24.

По п.2. - вопросы не решаются при отсутствии полных исходных данных по каждому конкретному случаю.

assguard

Спасибо за ответ!

По п.1 - да, в принципе это самый простой вариант, но в конфиге я указал две сети: Pythagoras и NIS_MNG - в обоих есть машины не в домене, есть и мобильные устройства, плюс там DHCP - , т.е. адреса динамические.

Выделить статику в принципе можно, но хотелось бы чтобы можно было иметь раздельно авторизацию и для доменных пользователей и не доменных без жесткой привязки к IP. Можно ли сделать авторизацию на базе mac-адресов?

По п.2 - я выложил в первом посте темы свой конфиг, все полные данные там, буду благодарен если гляните.

Алексей Максимов

1) Ничего не могу сказать насчет MAC-адресов. Можно конечно наверно при сильном желании и по сетчатке глаза аутентификацию на прокси сделать, только здесь я вам помочь не смогу. Не понимаю, что мешает разделить клиентов по разным IP подсетям (т.е. разным DHCP областям если нужна динамическая раздача адресов). По моему это вопрос не прокси, а организации сети. Если клиенты будут разбиты на изолированные подсети, то и рулить ими будет легче и в сети больше порядка будет (недоменные клиенты порождают больше бродкастов чем доменные, при условии, что последние правильно настроены). Да и зачем пихать всяких мобильных клиентов, которым за частую только доступ в интернет и нужен, в одну кучу с доменными клиентами мне вообще не понять. Это вопрос безопасности и чистоплотности администратора.

2) Вы действительно считаете, что при наличии одного squid.conf и фразы "в домене периодически выскакивает окно с вводом пароля" можно однозначно определить причину проблемы?