nix шлюз с поддержкой авторизацией AD
16 декабря 2008 в 18:08

nix шлюз с поддержкой авторизацией AD

собственно сабж…
Хочется чтобы там было:

  1. Авторизация пользователей через учетную запись AD 2003 (не хочу в ручную вбивать)
  2. Веб интерфейс (как минимум для статистики)
  3. Подключение по ВПН в сеть

вот продукты чтобы 2 и 3 пункт выполнялся я находил, а вот поддержка AD, еще не встречал…

1973
Комментарии (16)
  • 16 декабря 2008 в 18:31 • #
    Юрий Лукин

    А почему AD? Может стоит перенести всех в LDAP?

  • 16 декабря 2008 в 19:12 • #
    Антон Иванов

    поддерживаю :) AD в сАД

  • 16 декабря 2008 в 21:19 • #
    Антон Агальцов

    просто все пользователи сидят в домене, сейчас стоит винроут с авторизацией АД.
    все привыкли...

    как вариант могу принять следуещее:

    обращаться к контролеру домена как к LDAP серверу, брать от туда учетки, но вопрос как их взять с паролем? возможно ли?

  • 17 декабря 2008 в 02:12 • #
    Максим Сухомлин

    Возможно. Есть модули авторизации на уровне firewall (например в Linux - iptables). Их легко можно связать с любым доступным методом авторизации на целевой системе. Стандартно для авторизации пользователей на unix системах из под АД используют различные связки с samba.

  • 17 декабря 2008 в 11:07 • #
    Илья Балбашов

    Файловый доступ осуществляется через samba / winbind (AD указывается как password server, тип авторизации ADS), также можно сделать виртуальные почтовые ящики (за это как раз winbind отвечает).
    Squid прокси также вяжется через winbind авторизатор, (ldap работать не будет, т.к. протоколы различаются с MS). Но чтобы считать статистику по пользователям, нужно самому дописывать squid auth helper, я не знаю готовых под winbind. И опять же нужна будет БД, обработчик статистики, веб интерфейс.

  • 17 декабря 2008 в 11:41 • #
    Антон Агальцов

    сформулирую более точное описание необходимого действия:
    1) Требуется авторизация через учетную запись AD 2003, чтобы логины и пароли брались оттуда и запрашивались у пользователя при загрузки в нет.
    2) Должна вестись сессия (чтобы пользователь не каждый раз при заходи в браузер вводил пароль) чтобы с утра зашел ввел пароли и целый день (или определенный интервал времени) не требовалось снова вводить
    3) Так же должны вестись логи по пользователям (прикрутить аналист к mysql будет не проблемно)
    4) Так же должна быть возможность использовать встроенные учетные записи (помимо AD)
    5) Возможность подключения по средствам ВПН к сети.

    в кратце это все функции, организацию ФТП, Веб это уже сделать всегда можно.

  • 17 декабря 2008 в 12:44 • #
    Илья Балбашов

    1, 2 пункты - умеет делать squid+winbind helper.
    3. Статистика squid ведется в файле, который периодически необходимо обрабатывать, обновляя статистику в SQL.
    Проблема начинается тогда, когда нужно отсечь авторизацию пользователя, превысившего свой лимит. Вот тут собственно нужно дописывать программу-авторизатор. Необходимость этого также следует из 4го пункта. Кcтати, какие именно встроенные пользователи имеются в виду: SQL, passwd?
    5 пункт - это вообще стандартное решение.

    P.S. Я сам являлся автором подобной системы, которая до сих пор используется на ряде крупных предприятий (до 300 хостов), но у меня вся база пользователей хранится в SQL, без дополнительной привязки к AD.
    С уверенностью могу сказать - стандартного готового решения такого рода, по крайней мере в открытом доступе, нет. Если встанет такая задача - можно разобраться, с сходу не могу оценить сложность реализации.

  • 17 декабря 2008 в 12:50 • #
    Айрат Давлетшин

    3. посмотрите сторону SAMS

  • 17 декабря 2008 в 13:52 • #
    Антон Агальцов

    а почему не привязываешся к АD?

    про 3 пункт, имеются ввиду пароли для гостей фирмы, аудиторов, вообщем люди которые юзают только интернет.

    Желание такое чтобы я не в AD замусоривал списки учетных записей (хотя и там можно сделать), а вбивал в тот же sql, passwd вообщем что удобней, туда и вбивать...

    и еще вопрос: А на какой платформе лучше все это забацать?
    думаю по поводу openbsd, но не уверен что она все это вытянит...
    что посоветуете?

  • 19 декабря 2008 в 20:04 • #
    Илья Балбашов

    Не привязыватьcя к AD - это политика безопасности компании. Скажем, пользователь может сесть за чужой ПК, или войти в домен под чужим логином и получить доступ в интернет с чужого аккаунта. Так что решили использовать свою SQL базу (хотя она связана также с почтовыми аккаунтами).
    Насчет openBSD - как то дискутировали на эту тему с одним хостингом в США, их мнение было примерно таким: достоинство системы в ее безопасности, за счет того, что ее мало кто знает :). Но собственно с этого же места начинаются недостатки. Остановились на freeBSD.
    Для корпоративного решения же, на мой взгляд, идеальным решением является CentOS 5 (некоммерческий RedHAt Enterprise). В нем используется тот же Security Enhanced механизм, присутствуют удобные средства администрирования.

  • 17 декабря 2008 в 14:32 • #
    Евгений Филаткин

    У нас тоит такая система на площадках - Squid с авторизаций по winbind.
    если в IE прописан прокси, то Squid пускает в инет на основе учетных данных AD. Т.е. авторизацию пользователя не запрашивает- Squid понимает что эта за пользователь из AD. Настроить другой клиент(не IE) возможно также - указывая прокси, и логин-пароль AD пользователя.

    Соответсвенно пишет в логах такой то пользователь.
    Причем в AD есть группы доступа в интернет. В зависимости от группы, в какую входит пользователь, ему в Squid прописано что он может скачивать, куда ходить.

    Такая система ввиду ввиду лицензионных ограничений широко используется повсеместно, у нас допустим с площадки 500 пользователей выходят в интернет

    Что касается логов - вариаций очень много - или парсить логи(учетка присутствует в логах) и затем кидать в базу или ставить готовое решение - например http://lightsquid.sourceforge.net/.

    VPN- тут немного сложнее, скажем так - если есть helper winbind у VPN-софта(pptp, openvpn), на основе которого сделан VPN, то в принципе сделать можно. Хотя используя pam можно обойтись и стандартным winbind настроенным.

  • 17 декабря 2008 в 15:55 • #
    Максим Догонов

    Добрый день всем! Посмотрите пожалуйста на этот дистрибутив:

    "Дистрибутив Zeroshell около занимает 100Мб и предназначен для организации маршрутизаторов загрузкой с с CD-ROM илиCompactFlash.
    Для управления использовать можно специально разработанный web-интерфейс.
    Из поддерживаемых сервисов отметить можно поддержку:

    1. Kerberos и x.509 аутентификации.
    2. Unix and Windows Active Directory interoperability using LDAP and Kerberos 5 cross realm authentication.
    3. RIPv2 маршрутизация;
    4. 802.1d бриджинг с протокола поддержкой Spanning Tree;
    5. Управление VLAN 802.1q;
    6. VPN PPTP, (L2TP/IPsec, SSL/TLS туннели);
    7. PPPoE;
    8. NAT;
    9. Возможность создания беспроводного точек доступа с WPA или WPA2, с аутентификации
      поддержкой через web-интерфейс;
    10. DNS и DHCP;"
      Более подробней на сайте: http://www.zeroshell.net/eng/
  • 17 декабря 2008 в 16:09 • #
    Максим Догонов

    Картинка по конкурированию AD http://zeroshell.net/ss/show.php?Name=ldap

  • 22 декабря 2008 в 13:07 • #
    Андрей Шильников

    Хорошее *nix-решение. Поставил вместо cisco, работой очень доволен.
    В плане настроек все очень просто.

  • 25 декабря 2008 в 14:28 • #
    Евгений Ильин

    Рекомендую посмотреть pfsense 1.2. http://www.pfsense.com/
    Поддерживает авторизацию local, LDAP, Radius, NT Domain.
    Быстрая установка, удобная настройка. Как говорится дешево и сердито.
    Текущая версия на freebsd 6.2. RC версии уже собраны на более свежей FreeBSD.


Выберите из списка
2018
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
1970