Netware прощай....

Для любителей просто поболтать

Re: Netware прощай....

Сообщение Ковалев Артем » 23 янв 2014, 18:58

Понятно, но AD пока не рассматриваю.
Еще у кого как прокси сделан?
берем картину мироздания и тупо смотрим - что к чему...
Аватара пользователя
Ковалев Артем
 
Сообщения: 919
Зарегистрирован: 29 мар 2004, 11:44
Откуда: Москва

Re: Netware прощай....

Сообщение sovchik » 23 янв 2014, 19:41

Я по следам Dimerson-а иду: squid на oes11 плюс squidtrust. Squidtrust из login скрипка запускается, отдает имя пользователя плюс его группы. На сервере перловым скрипом проверяем есть у пользователя нужная группа и соответственно либо пускаем в сеть либо нет
sovchik
 
Сообщения: 320
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: Netware прощай....

Сообщение Ковалев Артем » 24 янв 2014, 10:49

squid в таком исполнении память жрёт, как слон банные веники. 8 Гб ему на 300 персон мало.
берем картину мироздания и тупо смотрим - что к чему...
Аватара пользователя
Ковалев Артем
 
Сообщения: 919
Зарегистрирован: 29 мар 2004, 11:44
Откуда: Москва

Re: Netware прощай....

Сообщение Доменика » 24 янв 2014, 18:12

Ковалев Артем писал(а):Коллеги, а на чем у вас бордюры?
Или как вы реализуете прокси с прозрачной авторизацией?

Superlumin Nemesis
Доменика
 
Сообщения: 270
Зарегистрирован: 05 июн 2002, 18:46
Откуда: Московская обл., Софрино

Re: Netware прощай....

Сообщение sovchik » 24 янв 2014, 19:14

Ковалев Артем писал(а):squid в таком исполнении память жрёт, как слон банные веники. 8 Гб ему на 300 персон мало.

100-150 юзеров. Больше 2 Гб оперативы слон не кушает. Приходится правда где-то раз в неделю перловые скрипты, которые за опрос пользователей отвечают, сносить, чтобы он их заново создал: бывает юзеры в сеть не пробиваются, очевидно некоторые коннекты подвисвют. Кэша у нас два тома по 120 Гигов, занято на каждом не более 40. Так что не так и прожорлив слон
Последний раз редактировалось sovchik 29 янв 2014, 21:13, всего редактировалось 2 раз(а).
sovchik
 
Сообщения: 320
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: Netware прощай....

Сообщение Dmitry aka DrHoo » 26 янв 2014, 13:10

Ковалев Артем писал(а):Понятно, но AD пока не рассматриваю.
Еще у кого как прокси сделан?


У нас squid в таком варианте. Память не жрёт (правда, юзеров всего около 200).
Аватара пользователя
Dmitry aka DrHoo
 
Сообщения: 73
Зарегистрирован: 05 июн 2002, 07:48

Re: Netware прощай....

Сообщение ezhik40 » 30 янв 2014, 00:09

Ковалев Артем писал(а):Коллеги, а на чем у вас бордюры?
Или как вы реализуете прокси с прозрачной авторизацией?


Привет Артем. Мы сидим на этом: http://www.novell.com/partnerguide/product/204001.html
Весьма производительная железка, своя ASIC-матрица коммутации.
Почитать можно тут: http://www.astarots.ru/files/Manual_ASG_8-001_RU.pdf
п. 5.3

Удачи!
Аватара пользователя
ezhik40
 
Сообщения: 4
Зарегистрирован: 14 май 2013, 10:45
Откуда: Москва

Re: Netware прощай....

Сообщение Dimerson » 01 фев 2014, 09:38

Данная тема поднимается регулярно.

Я пробовал в свое время SuperLumin.
У него неплохо с производительностью. Но в то время у него было похоже что к неплохому прокси притянули за уши vpn/sso/firewall итд.

То есть политика ACL недалеко ушла от описания их в squid.conf
А SSO работал с чуть более чем нестандартным скриптом через cookie не очень. Приходилось откатываться на модель подобную той что в BM.

Firewall там убогий - сделан на основе SuSE Firewall.
Мне нужно было реализовать STATIC NAT подобный тому что в BM (то есть работа черезе ADD SECONDARY IPADDRESS).
И фигушки. OpenVPN 100% обычный. И поскольку лумин не дешевый решил допилить Squid/SquidTrust.

OpenVPN - с ним все понятно - остановился на сертификатах в eToken.

Ну а Firewall реализующий на 100% то что было в BM (и еще много что), притом что с нормальным гуем чтоб было все возможно оглядеть одним взглядом - взял FWBuilder.

В общем второй год все ок. хотел добавить:
1. Зачем пускать squidtrust в логин скрипте ? У меня в автозапуске. При перелогине все ок.
2. Скрипты не тупят. Бывает аптайм по 200 дней но это редко - чаще ядра sles обновляются.
ежели и так : squid -k reconfigure и без потери бойца внешние ACL перезапускаются.
3. По поеданию памяти: после старта сквид растет в памяти но через некоторое время устаканивается на 36-37%
Всего памяти 8 GB.
Intel(R) Xeon(R) CPU X3450 @ 2.67GHz
RAID bus controller: LSI Logic / Symbios Logic MegaRAID SAS 1078 (rev 04)
под кеш 2 SAS HDD 15k RPM сконфигуренные в JBOD (REISERFS).
/dev/sdb1 on /var/cache/squid1 type reiserfs (rw,noatime,notail)
/dev/sdc1 on /var/cache/squid2 type reiserfs (rw,noatime,notail)

4. Прикручивать Drweb пробовал - тормозит (менее всего когда демон на том же компе). Предполагаю
что если взять железо с Очень Толстыми Процессорами и их Большим Количеством то будет тормозить меньше.

С недельку изучаю Fortigate (не для замены Squid - в другое место) FortiWifi60CX-ADSL.
В общем что-то в этом есть. Если у него все ОК с SSO (заявлен для AD и eDir) то старшие модели
могут представлять интерес как замена BM (краем глаза читал что может быть например внутри 2 SSD
как сторадж). Что могу сказать по модели 60:

Каменюка ARM SoC 525 MGz. 512MB ram. Производитель пишет что в процессоре аппаратный offload для
firewall/antivirus. По крайней мере для VPN какой-то NP там видать. Для данной железки производитель-
ность антивируса заявлена 20 Мб/сек. Веб фильтрация тоже вполне живая. Все меньше работы не править
ACL руками - проще крыжики по категориям расставить :)

2 шт wan (100 ethernet), 8 LAN (4x100+ 4x1000), USB for 3G/4G Modem, PC-Card for modem, ADSL, Wi-Fi.

Все это живет поверх ядра Linux 2.4.xx (этого никак не видать в консоли, но можно получить
из cat /proc/version :)

Имеется internal сторадж 8 GB (SDHC). Производитель рекомендует не использовать его для логов, а лить логи
в облако (своё). Можно на SDHC сделать web proxy cache.

В общем я его погонял - весьма интересно . Proxy/Nat с AV/IPS/DLP итд итп с SSO. Умеет SSL Inspection
(юзеру в браузер отдается сертификат от FortiNet на нужный сайт, перед этим устанавливаем
сертификат Fortinet CA в доверенные) и враг/viruses в SSL туннеле не пройдут.

С ним на халяву AV Свой на 10 устройств - управляются с него же.

Обошелся в 60 тыр. Раз в год продлять придется (не 60 тыр конечно).

Да, Сертифицировано типа в России насквозь.

Было интересно узать про железки от ASTARO. Настораживает что его похоже скупили и что будет с
поддежкой eDirectory в новых железках ?

Если кто юзает старше железки от FortiNet поделитесь впечатлениями PLS.
Аватара пользователя
Dimerson
 
Сообщения: 2788
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: Netware прощай....

Сообщение sovchik » 01 фев 2014, 11:21

Тема регулярная, ибо весьма актуальна. Хотя и ветка не ахти для этой дискуссии ;-)

Dimerson писал(а):.....
2. Скрипты не тупят. Бывает аптайм по 200 дней но это редко - чаще ядра sles обновляются.
ежели и так : squid -k reconfigure и без потери бойца внешние ACL перезапускаются.
.....

Ну вот у меня не спасает реконфигуре - пользователь опять на просторы сети не попадает. Либо рестарт сквида, либо в ручную убить все перловые скрипты, тогда он их перезапустит.
Аптайм да, радует.
sovchik
 
Сообщения: 320
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: Netware прощай....

Сообщение Владимир Горяев » 01 фев 2014, 19:08

Dimerson писал(а): Обошелся в 60 тыр. Раз в год продлять придется (не 60 тыр конечно).

Да, Сертифицировано типа в России насквозь.
Любопытно. Реальная альтернатива всяким континентам...
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Re: Netware прощай....

Сообщение Dimerson » 02 фев 2014, 12:42

sovchik писал(а):Тема регулярная, ибо весьма актуальна. Хотя и ветка не ахти для этой дискуссии ;-)

Dimerson писал(а):.....
2. Скрипты не тупят. Бывает аптайм по 200 дней но это редко - чаще ядра sles обновляются.
ежели и так : squid -k reconfigure и без потери бойца внешние ACL перезапускаются.
.....

Ну вот у меня не спасает реконфигуре - пользователь опять на просторы сети не попадает. Либо рестарт сквида, либо в ручную убить все перловые скрипты, тогда он их перезапустит.
Аптайм да, радует.


Я бы рекомендовал в моменты глюков сделать на сервере к которому сквидтраст ходит по LDAP

ndstrace -all +ldap

и поглядеть что и как.

P.S. У вас чьи скритпы работают - мои или буржуйские ?
Аватара пользователя
Dimerson
 
Сообщения: 2788
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: Netware прощай....

Сообщение ezhik40 » 02 фев 2014, 16:11

Dimerson писал(а): (заявлен для AD и eDir)

У Fortigate нет прозрачной авторизации. Это точно.
Аватара пользователя
ezhik40
 
Сообщения: 4
Зарегистрирован: 14 май 2013, 10:45
Откуда: Москва

Re: Netware прощай....

Сообщение sovchik » 04 фев 2014, 07:50

Dimerson писал(а):....
Я бы рекомендовал в моменты глюков сделать на сервере к которому сквидтраст ходит по LDAP

ndstrace -all +ldap

и поглядеть что и как.

P.S. У вас чьи скритпы работают - мои или буржуйские ?


Спасибо за совет, попробую.

Скрипты буржуйские по моему. Я тогда несколько вариантов перепробовал и уже сомневаюсь на чём остановился.
sovchik
 
Сообщения: 320
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: Netware прощай....

Сообщение Dimerson » 05 фев 2014, 05:29

ezhik40 писал(а):
Dimerson писал(а): (заявлен для AD и eDir)

У Fortigate нет прозрачной авторизации. Это точно.


В доке описан SSO для eDirectory используется внешний вспомогательный сервис.
Аватара пользователя
Dimerson
 
Сообщения: 2788
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: Netware прощай....

Сообщение Boris Morozov » 03 мар 2014, 20:45

И я ушел на OES. Вместо бордюра squid с авторизацией через squidtrustIII. Собственно говоря косяк остался с первазивом, не ловит права на базки. Не ограничить на чтение через файловые права. Придется в программах разрулить.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Пред.След.

Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron