Как сделать squid transparent но с авторизацией AD?

Question

[Lendis]

Подскажите, как настроить прокси в прозрачном режиме, но при попытке пользователя зайти в интернет запрашивала бы авторизацию? То есть прокси как-то пенеправляет на веб-страницу, которая запрашивает логин и пароль AD. При верном вводе, он пускает его в интернет и плюс еще ограничения относительно LDAP групп накладывает. Такое можно ли сделать?

Я понимаю что transparent + авторизация = нельзя. Но у Kerio Control так работает. И у ИКС работает

Ну или более общий вопрос: если я доменными политиками раздам настройки прокси всем сотрудникам офиса, то как сделать так, чтобы выездные сотрудники вне офиса работали через свой интернет, вне прокси?

Answer 1

[Дмитрий Шицков]

Необходимо городить что-то вроде такого, для получения функционала аналогичного Керио: https://habrahabr.ru/post/140052/

По поводу выездных - я бы настроил прокси не политиками, а используя WPAD.

Comments

[Lendis]

WPAD кажется решением. То есть если удаленный сотрудник попытается выйти в интернет, то он после попыток найти pac файл выйдет в инет напрямую?
Только вот они у нас подключают впн, и тогда соединения пойдут через наш прокси, т.к он найдет pac файл, как-то можно этого избежать?

[Дмитрий Шицков]

Lendis: Я не помню всех способов указать месторасположение файла WPAD, но знаю о двух: через параметр DHCP и через DNS запись. Первый встречал чаще всего. Если ваши удалённые клиенты не получают адрес от вашего внутреннего DHCP, или сидят в другйо подсети, где не распространяется параметр с WPAD, то они и не найдут его и использовать не будут. Так же, дополнительно необходимо ограничить доступ удаленным пользователям, чтобы они имели доступ только к внутренним ресурсам, но не имели возможности выйти в интернет через прокси/NAT.

[Lendis]

Дмитрий Шицков: Да. А можно и явно доступ на прокси или впн сервер ограничить всем впнщикам и все норм. Спасибо за помощь