Как распределить скорость Интернет-трафика между пользователями AD?
Возникла потребность раздать пользователям ActiveDirectory Интернет, чтобы у каждого пользователя (либо группы пользователей) была своя скорость Интернет-трафика. К примеру, директору фирмы и главному бухгалтеру — безлимитная скорость на скачивание, а секретарю и библиотекарю — фиксированная :)
Какое программное средство подойдёт для этих целей? Оно может быть как для *nix, так и для Windows. Главное, чтобы умело работать с AD.
Желательно, чтобы имелась возможность добавлять URL'ы в блеклист. Если будет встроенный фаервол, то ещё лучше :)
набор скриптов на линуксовом роутере.
Получить из AD (фактически тот же ldap) параметры скорости, привязать пользователей к компам, нарезать полосы на шейпере. В принципе пишется за день.
"9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG. Основная поддержка будет прекращена после 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года. Продукт не будет доступен для приобретения после 1 декабря 2012 года"
Файрвол -- это одно, а скорость -- это другое. Скорость на основании группы, в которую входит пользователь, можно нарезать с помощью Squid. man на предмет delay pools в Squid (это про скорость), и интеграцию Squid с AD.
Урлы сквид может блэклистить, это не проблема. Можно юзать также внешний редиректор, типа squidGuard или rejik. Если блэклист небольшой и клиентов не очень много -- можно смело юзать встроенные возможности сквида. Если клиентов сотни, и блэклист с регэкспами тоже из нескольких сотен (и более) записей -- лучше для блокировки внешний по отношению к сквиду редиректор использовать, нагрузка на машину существенно снижается.
Кирилл: Сквид может работать как прозрачный прокси, но вариантов резать скорость NAT'ом на основе логина в AD в природе не существует, и технически существовать не может. Отчасти потому, что NAT не занимается ограничением скорости, от слова "вообще", этим занимаются более другие предметы. Но в основном потому, что сущности, которыми оперирует NAT -- это IP-адреса, и AD с его юзерами и группами к NAT'у тупо некуда прикрутить.
Но если вам хочется именно файрволом резать скорость, то могу предложить разнообразные костыли. Например, можно раздавать пользователям в офисе интернет по VPN. Кто хочет выйти за пределы локалки -- подключается по VPN к некоему серверу, получает фиксированный, принадлежащий именно этому пользователю IP-адрес в туннеле и шлюз по умолчанию., И ходит с этого IP в интернет. А вы файрволом уже соответствующие IP разделяете по скорости, как требуется. Ну то есть, полностью та же схема, которой пользуются многие интернет-провайдеры.
Второй костыль -- скриптом детектить IP-адреса машин для залогиненых пользователей. Это криво и не гарантирует однозначного соответствия между параметрами "Залогиненый пользователь" <--> "IP компьютера, на котором он залогинился" (как, например, обрабатывать ситуацию, когда пользователь залогинился более чем на одном компе одновременно?), но в целом, работать будет.
Третий костыль -- жёстко прибить IP-адреса к рабочим станциям соответствующих пользователей. Т.е. мы знаем, что юзер vasya работает с машиной vasya-pc, и у этой машины IP всегда должен быть 192.168.0.1. Руками адреса выставлять на рабочих станциях, или в DHCP прописывать статически соответствие MAC и IP -- это как угодно.
Но всё вышеперечисленное -- реально костыли (ну может, кроме VPN), а в целом, не очень понятно, почему вы при наличии AD не хотите использовать Squid. Когда есть AD -- сквиду не нужен режим прозрачного прокси (тем более, что HTTPS в общем случае проксироваться в этом режиме не будет). Настройте прокси, раздайте групповыми политиками всем клиентам IP и порт прокси-сервера, и у вас всё будет работать -- браузеры будут авторизоваться через NTLM автоматически, а сквид будет регулировать скорость. Торренты так не урезать, понятное дело, но это ж конторская сеть, как я понимаю, так что нефиг на работе торренты качать :-)
Разве это не через QoS раскидываются приоритеты https://technet.microsoft.com/ru-ru/library/dd7590... и доп. софта не надо. Трафик резать умеет, хотя по мне так логичнее только приоритеты на пользователей/группы пользователей раскидать.
