раздать IP по VPN -ам для user-ов от
10.4.1.2 до 10.4.2.255
с одного pptpd сервера
и ничего не правили.... ?
skoltogyan писал(а):Подымать РАДИУС и предоставлять конкретному пользователю по предоставлению паролдя, его личный IP.. а squid же на базе IP будет давать доступ..
skoltogyan писал(а):раздать IP по VPN -ам для user-ов от
10.4.1.2 до 10.4.2.255
с одного pptpd сервера
и ничего не правили.... ?
skoltogyan писал(а):Подымать РАДИУС и предоставлять конкретному пользователю по предоставлению паролдя, его личный IP.. а squid же на базе IP будет давать доступ..
Сергей Дубров писал(а):skoltogyan писал(а):Подымать РАДИУС и предоставлять конкретному пользователю по предоставлению паролдя, его личный IP.. а squid же на базе IP будет давать доступ..
Эта идеология обламывается, если пользователь идёт с многопользовательской системы (виндовые терминальные сервера, любой nix), т.е., когда ip != user.
Сергей Дубров писал(а):В работе моего студента эта проблема решена: написан некий функциональный эквивалент clntrust, под винду и линукс, выход наружу (squid) разрешается (или запрещается) на основании ИМЕНИ пользователя в дереве (e-dir, доступ по LDAPS).
Григорьев Михаил писал(а):Сергей Дубров писал(а):skoltogyan писал(а):Подымать РАДИУС и предоставлять конкретному пользователю по предоставлению паролдя, его личный IP.. а squid же на базе IP будет давать доступ..
Эта идеология обламывается, если пользователь идёт с многопользовательской системы (виндовые терминальные сервера, любой nix), т.е., когда ip != user.
Как раз таки и не обламывается и еще как работате, если мы сопоставим логину конкретный IP который будет ему присваиваться пусть хоть он из-за океана установить VPN соединение с сервером.
Григорьев Михаил писал(а):Сергей Дубров писал(а):В работе моего студента эта проблема решена: написан некий функциональный эквивалент clntrust, под винду и линукс, выход наружу (squid) разрешается (или запрещается) на основании ИМЕНИ пользователя в дереве (e-dir, доступ по LDAPS).
Если это опен сорс решение то можно поглядеть исходники? или программу готовую, а то Сергей я 2-й раз уже слышу о таком модуле НО в глаза его не видел, хоть и просил его на тесты предоставить.
Сергей Дубров писал(а):Григорьев Михаил писал(а):Сергей Дубров писал(а):skoltogyan писал(а):Подымать РАДИУС и предоставлять конкретному пользователю по предоставлению паролдя, его личный IP.. а squid же на базе IP будет давать доступ..
Эта идеология обламывается, если пользователь идёт с многопользовательской системы (виндовые терминальные сервера, любой nix), т.е., когда ip != user.
Как раз таки и не обламывается и еще как работате, если мы сопоставим логину конкретный IP который будет ему присваиваться пусть хоть он из-за океана установить VPN соединение с сервером.
Обламывается, ты не понял - если с одного терминального сервера у меня пойдут наружу двадцать юзеров - я что, должен буду все двадцать персональных IP на один терминальный сервер назначить? А если один и тот же юзер с двух и более машин _одновременно_ иницирует несколько сессий - кому сопоставленный логину IP отдадим? Во...
Сергей Дубров писал(а):Григорьев Михаил писал(а):Сергей Дубров писал(а):В работе моего студента эта проблема решена: написан некий функциональный эквивалент clntrust, под винду и линукс, выход наружу (squid) разрешается (или запрещается) на основании ИМЕНИ пользователя в дереве (e-dir, доступ по LDAPS).
Если это опен сорс решение то можно поглядеть исходники? или программу готовую, а то Сергей я 2-й раз уже слышу о таком модуле НО в глаза его не видел, хоть и просил его на тесты предоставить.
Будет ли это open source - вопрос не решенный. Через две недели студент по этой работе защищается (остаётся у нас в аспирантуре), тогда и вопросы ему можно будет задавать. А сейчас ему не до того. Хотя система в первом приближении уже работает (с виндой были заморочки).
[2 недели]...вопросы ему можно будет задавать
В работе моего студента...
Позвольте встрять со своими скромными познаниями в области юриспруденции.Музалёв Николай писал(а):Если работа была учебной, то что по поводу авторских прав стузиозиса говорит нам современный устав ВШколы РФ?
Сергей Дубров писал(а):Будет ли это open source - вопрос не решенный. Через две недели студент по этой работе защищается (остаётся у нас в аспирантуре), тогда и вопросы ему можно будет задавать. А сейчас ему не до того. Хотя система в первом приближении уже работает (с виндой были заморочки).
Григорьев Михаил писал(а):ООО....
В 3-й версии сквида есть хелпер для ldap + digest, я только что качнул, по идее его можно прикрутить к 2.5 версии...
Ща прикрутим.... Надеюсь что прикручу.... )))
Vladimir писал(а):Не подскажете, что в этой строке может быть написано неправильно?
./digest_ldap_auth -b "ou=MyOU,o=MyO" -A "userPassword" -D "cn=User,ou=MyO,o=MyO" -w "valid password" -u "cn" -s "sub" -F "(&(&(objectClass=person)(cn=%s))(groupMembership=cn=Group1,ou=MyOU,o=MyO))" -H ldaps://172.28.x.x -p 636
Запускаю ==>
Username Password
ERR
squid.conf
Без групп:
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "o=SKBKontur" -h 192.168.100.3 -f "(&(cn=%s)(objectClass=Person))" -s sub
С группами:
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "o=SKBKontur" -h 192.168.100.3 -D cn=Admin,o=SKBKontur -w trax -f "(&(cn=%s)(objectClass=Person)(securityequals=cn=Squid,o=SKBKontur))" -s sub
или
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "o=SKBKontur" -h 192.168.100.3 -D cn=Admin,o=SKBKontur -w trax -f "(&(&(cn=%s)(objectClass=Person))(securityequals=cn=Squid,o=SKBKontur))" -s sub
или
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "o=SKBKontur" -h 192.168.100.3 -D cn=Admin,o=SKBKontur -w trax -f "(&(cn=%s)(objectClass=Person)(|(securityequals=cn=Squid,o=SKBKontur)))" -s sub
или много групп
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "o=SKBKontur" -h 192.168.100.3 -D cn=Admin,o=SKBKontur -w trax -f "(&(cn=%s)(objectClass=Person)(|(securityequals=cn=Squid,o=SKBKontur)(securityequals=cn=Squid1,o=SKBKontur)(securityequals=cn=Squid2,o=SKBKontur)))" -s sub
Пишем ACL'ки:
acl ldap proxy_auth REQUIRED
acl ya dstdom_regex -i ya
acl vpn_kontur_src src 192.168.201.0/255.255.255.0
http_access allow vpn_kontur_src !ya
http_access allow ldap ya
Григорьев Михаил писал(а):Начинать нужно с червя.... потом плавно переходим на мотыль, ну а потом другие способы ловли...
Начинаем с малого
Vladimir писал(а):Ага! Кажется, я начинаю понимать в чём тут дело...
Кто-нибудь знает в каком атрибуте NDS хранит хэш пароля пользователя?
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1