Задать вопрос

Как сделать распределение пользователей AD на прокси-сервере freebsd по разным каналам в зависимости от группы?

Есть сервер AD+DHCP на базе win2008R2 и и резервный сервер AD на win2019. Репликация протекает успешно и есть желание избавиться от старого сервера и перейти на новый полностью. Но этому мешают два прокси сервера на freebsd 9. На этих прокси-серверах стоит squid 3 с авторизацией в AD в win2008r2 (первый) и второй без авторизации в домене но тоже squid3 + dansguardian. Первый прокси пускает администрацию по нефильтрованному каналу, второй пускает учителей по фильтрованному (через squid) и детей по белому списку (dansguardian). проводить авторизацию в win2019 старый squid не может, т.к. этот протокол уже устарел и не работает (NTLM). Есть мысль (чувствую что это возможно) сделать один прокси сервер в котором будут 2 канала интернета и squid распределял бы пользователей, в зависимости от группы в AD, кому куда идти.
Дополнительные условия:
  • Администрация должна ходить через "шлюз" (прозрачный squid) ,ip раздается по dhcp, на нефильтрованный канал
  • Учителя должны ходить через "шлюз" (прозрачный squid) ,ip раздается по dhcp, на фильтрованный канал
  • Ученики должны ходить только по белому списку через фильтрованный канал

Весь гугл перерыл, ничего путного не нашел (может смотрел не туда). Подскажите - возможно ли это? если да то где капать?
  • Вопрос задан
  • 203 просмотра
Подписаться 1 Средний 6 комментариев
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
В конце 2019 года незадолго до того, как сдохнуть в "Системном администраторе" была пара статей по настройке squid по аутентиифкации через керберос и управлении группами через AD. Задача вполне решаема на одном прокси. Она решаема даже без управления группами, но там в статье еще про бампинг, без которого нынче весь контроль доступа сьеживается до контроля первичного захода и то при условии, что DoH не задействован или сервера DoH заблокированы.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы