Страница 1 из 1

Двойная авторизация для доменных и недоменных пользователей

Добавлено: 05 ноя 2015 10:15
AssGuard
Здравствуйте!
В этой теме в комментариях я писал что настроил все по инструкции и все работает.
Спасибо Алексею за цикл подробных и понятных статей.

Но сейчас у меня две проблемы:
1. Помимо доменных пользователей есть пользователи ВНЕ домена и с личными устройствами - необходимо помимо ntlm-авторизации сделать так чтобы у них был доступ как у группы BlockedAccess или StandardAccess - иначе у них постоянно выскакивает окошко с вводом пароля.

2. Даже в домене периодически выскакивает окно с вводом пароля. Как пофиксить?

Прошу помощи, конфиг прилагаю.

Re: Двойная авторизация для доменных и недоменных пользовате

Добавлено: 05 ноя 2015 13:04
Алексей Максимов
По п.1 можно например выделить все такие устройства в отдельную подсеть, создать в squid.conf для этой подсети ACL.

Добавляем ACL:

Код: Выделить всё

acl FullAccessComputers src       "/<full path>/conf_param_computers_fullacess.txt"
Добавляем правило разрешающее доступ без аутентификации:

Код: Выделить всё

# Allow direct access to All Sites
http_access allow FullAccessComputers
Главное, чтобы это правило шло до правила требующего обязательную аутентификацию (http_access deny !auth)
В файл conf_param_computers_fullacess.txt прописываем IP-адреса (по одному на кажой строчке) или подсети, например 10.10.10.0/24.

По п.2. - вопросы не решаются при отсутствии полных исходных данных по каждому конкретному случаю.

Re: Двойная авторизация для доменных и недоменных пользовате

Добавлено: 05 ноя 2015 13:37
AssGuard
Спасибо за ответ!
По п.1 - да, в принципе это самый простой вариант, но в конфиге я указал две сети: Pythagoras и NIS_MNG - в обоих есть машины не в домене, есть и мобильные устройства, плюс там DHCP - , т.е. адреса динамические.
Выделить статику в принципе можно, но хотелось бы чтобы можно было иметь раздельно авторизацию и для доменных пользователей и не доменных без жесткой привязки к IP. Можно ли сделать авторизацию на базе mac-адресов?
По п.2 - я выложил в первом посте темы свой конфиг, все полные данные там, буду благодарен если гляните.

Re: Двойная авторизация для доменных и недоменных пользовате

Добавлено: 05 ноя 2015 14:00
Алексей Максимов
1) Ничего не могу сказать насчет MAC-адресов. Можно конечно наверно при сильном желании и по сетчатке глаза аутентификацию на прокси сделать, только здесь я вам помочь не смогу. Не понимаю, что мешает разделить клиентов по разным IP подсетям (т.е. разным DHCP областям если нужна динамическая раздача адресов). По моему это вопрос не прокси, а организации сети. Если клиенты будут разбиты на изолированные подсети, то и рулить ими будет легче и в сети больше порядка будет (недоменные клиенты порождают больше бродкастов чем доменные, при условии, что последние правильно настроены). Да и зачем пихать всяких мобильных клиентов, которым за частую только доступ в интернет и нужен, в одну кучу с доменными клиентами мне вообще не понять. Это вопрос безопасности и чистоплотности администратора.

2) Вы действительно считаете, что при наличии одного squid.conf и фразы "в домене периодически выскакивает окно с вводом пароля" можно однозначно определить причину проблемы?