Юник, трафик, пароли

 

BrAB

аксакал
★☆
Давным - давно (ещё до нового года) я с помощью местных Гуру (особое спасибо ещё раз Сократу и Балансеру) просветлился и в конце концов настроил раздачу и тарификацию инета на бахе FreeBSD. Однако с тех пор много байтов утекло и клиентов стало не 2, а 5. И встали вопросы, ответов на которые я не нашёл, только намёки. Интересует следущее:

1) Как бы сделать авторизацию клиетов по логину/паролю? сейчас я считаю трафик основываясь на постоянном ip адресе, но это не есть хорошо.... Пускать их через сквид не хочется - машина не сильно мощная, сейчас уже поттормаживает.

2) как можно детализировать трафик? в идеале - по сайтам. Опять же, использовать прокси не очень хочется.

всем заранее спасибо
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай. Злой чечен ползет на берег. ©Лермонтов  
US [Сергей] #02.03.2004 19:39
+
-
edit
 
У меня дома это работает через NTLM. В общих чертах - ставишь PDC (Samba), даешь логины-пароли. В squid.conf надо поставить

acl pwd proxy_auth REQUIRED

Самбу надо перекомпилить с ключами

--with-winbind
--with-winbind-auth-challenge


Самбу, разумеется, надо поставить как PDC и вставить в [global]:

password server = myPDC
security = domain
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes


В squid.conf потом указываем, как доступиться до программки проверки:

auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/local/squid/libexec/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours


Вот - все. Теперь wb_auth крутится в цикле, принимает пары login/password и выдает результат - принято или нет. ACL pwd (имя не важно на самом деле) можно использовать как любой другой ACL. В логи пишется информация о клиенте, так что можно анализировать логи. Вот примерно так.
 
US [Сергей] #02.03.2004 23:37
+
-
edit
 
Опс... не дочитал. :( Оказывается, squid нежелателен. В таком случае, боюсь, придется очень сильно страдать. Одна из проблем - какие клиенты планируются? Что будет выступать сервером аутефикации?
 
+
-
edit
 
[Сергей:],02.03.2004 23:37:36
Опс... не дочитал. :( Оказывается, squid нежелателен. В таком случае, боюсь, придется очень сильно страдать. Одна из проблем - какие клиенты планируются?
 


Дело в том, что как раз авторизация через сквид у меня есть, но для работников фирмы. Сеть фирмы сиди вообще на отдельной сетевой карте.

Клиенты - разные. Либо компы с 2000/ХР, либо теже компы, но с Винроутом, либо сервера на базе Линуха с последущей раздачей по подсетям. зоопарк короче.

>Что будет выступать сервером аутефикации?

А вот это я и хотел спросить :-) на сервере стоит FreeBSD.......
 
+
-
edit
 
[brab:],03.03.2004 11:46:24
[Сергей:],02.03.2004 23:37:36
Опс... не дочитал. :( Оказывается, squid нежелателен. В таком случае, боюсь, придется очень сильно страдать. Одна из проблем - какие клиенты планируются?
 


Дело в том, что как раз авторизация через сквид у меня есть, но для работников фирмы. Сеть фирмы сиди вообще на отдельной сетевой карте.

Клиенты - разные. Либо компы с 2000/ХР, либо теже компы, но с Винроутом, либо сервера на базе Линуха с последущей раздачей по подсетям. зоопарк короче.

>Что будет выступать сервером аутефикации?

А вот это я и хотел спросить :-) на сервере стоит FreeBSD.......
 


Можеш через радиус + /ппое, ппп, пптп или чтото еще :)))/, можно тоже самое, но без радиуса, но менее управляемо :).
 

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru