Как сделать распределение пользователей AD на прокси-сервере freebsd по разным каналам в зависимости от группы?

Question

[Антон Пащенко]

Есть сервер AD+DHCP на базе win2008R2 и и резервный сервер AD на win2019. Репликация протекает успешно и есть желание избавиться от старого сервера и перейти на новый полностью. Но этому мешают два прокси сервера на freebsd 9. На этих прокси-серверах стоит squid 3 с авторизацией в AD в win2008r2 (первый) и второй без авторизации в домене но тоже squid3 + dansguardian. Первый прокси пускает администрацию по нефильтрованному каналу, второй пускает учителей по фильтрованному (через squid) и детей по белому списку (dansguardian). проводить авторизацию в win2019 старый squid не может, т.к. этот протокол уже устарел и не работает (NTLM). Есть мысль (чувствую что это возможно) сделать один прокси сервер в котором будут 2 канала интернета и squid распределял бы пользователей, в зависимости от группы в AD, кому куда идти.
Дополнительные условия:

• Администрация должна ходить через "шлюз" (прозрачный squid) ,ip раздается по dhcp, на нефильтрованный канал
  
• Учителя должны ходить через "шлюз" (прозрачный squid) ,ip раздается по dhcp, на фильтрованный канал
  
• Ученики должны ходить только по белому списку через фильтрованный канал
  

Весь гугл перерыл, ничего путного не нашел (может смотрел не туда). Подскажите - возможно ли это? если да то где капать?

Comments

[res2001]

Если NTLM устарел, то вегда можно использовать LDAP. AD поддерживает протокол LDAP. AD по сути то же LDAP сервер.
Практически к любому серверному софту на никсах можно прикрутить тем или иным образом аворизацию по LDAP.
В инете хватает мануалов по настройке авторизации через LDAP в AD, в т.ч. и для кальмара.

Кроме того часто LDAP можно использоваь гораздо гибче чем просто авторизация и проверка вхождения в группы. Можно проверять различные свойствав объектов и на основаи этого делать какие-то правила.

[Антон Пащенко]

res2001, c LDAP проблем то нет. проблема распределения пользователей по каналам. на старом squid можно настроить авторизацию на новый сервак но я хочу оставить один прокси

[res2001]

Антон Пащенко, Как мне видится, распределять по каналам это задача не squid, он только пропускает или блокирует.
Распределяет по каналам фаервол с настроенными множественными таблицами маршрутизации.

В свое время я делал собственный костыль для разруливания двух каналов на одном фаерволе FreeBSD, использовал ipfw и кое-какие собственные скрипты для конфигурирования и для мониторинга работоспособности каналов, чтоб переключать трафик с неработающего канала на работающий.
Тогда у меня в сети то же использовался squid, он стоял вообще на отдельной виртуалке, авторизовывался в Novell eDirectory.

Скажу так - схема вполне рабочая, в ipfw есть все нужное для разруливания трафика между несколькими каналами, но это достаточно низкоуровневый инструмент, придется повозится. В iptables и pf есть более высокоуровневые вещи для этого, с которыми проще было бы работать. При этом в ipfw вы можете построить практически любую конфигурацию, которая вам придет в голову, а в iptables/pf будете принимать навязанные этими инструментами правила игры. Но для простых случаев лучше использовать их, т.к. меньше возни.

[Антон Пащенко]

res2001, iptables и pf хороши когда статика по ip. думал над таким вариантом, но более 200 компов в сети сидят на dhcp. Про балансировку нагрузки тоже читал. не подходит. Нужно именно разграничивать по группам AD каналы. Сейчас у меня отдельно стоит 2 сервака прокси на каждый канал свой. Через GPO раздаются политики прокси (какой группе к какому серваку ломиться). Но есть ньюансы, типа бухгалтерии и администрации - бухи смотрят через свой шлюз напрямую (там и настроено iptables/pf т.к. у бухов статические ip и другая подсеть) минуя прокси (их софт не дружит с прокси), администрации нужен вайбер и т.д., которые тоже не дружат с прокси (если не прозрачная).
Пока понимаю, что лучше варианта, чем уже есть, не получить, жаль.

[res2001]

Антон Пащенко, На сколько я понимаю проблемы в сквиде с авторизацией в АД у вас нет. Вопрос только в том, что бы разрулить каналы на базе групп. Я давно уже сквидом не занимался, поэтому только могу ссылок подбросить для размышления:
https://victor-sudakov.dreamwidth.org/116061.html
https://forum.lissyara.su/networks-f4/squid-i-fib-...
Ну и далее гуглите по squid + setfib

[Антон Пащенко]

res2001, Спасибо! буду изучать.

Answer 1

[CityCat4]

В конце 2019 года незадолго до того, как сдохнуть в "Системном администраторе" была пара статей по настройке squid по аутентиифкации через керберос и управлении группами через AD. Задача вполне решаема на одном прокси. Она решаема даже без управления группами, но там в статье еще про бампинг, без которого нынче весь контроль доступа сьеживается до контроля первичного захода и то при условии, что DoH не задействован или сервера DoH заблокированы.