Умеет ли SuSE подключаться к ISA-серверу? (Возможно ли это "из коробки"?)

[ddc]

В общем, есть компьютер на работе, на котором надо переустанавливать Linux в виду очень неправильной разбивки диска. Возник вопрос: а не установить ли SuSE? Упирается всё в то, что нужно подключаться к ISA-серверу, за которым почта.

[Loky]

В общем, есть компьютер на работе, на котором надо переустанавливать Linux в виду очень неправильной разбивки диска. Возник вопрос: а не установить ли SuSE? Упирается всё в то, что нужно подключаться к ISA-серверу, за которым почта.

↑

Дык а подключиться-то в каком смысле? Сервис какой?

[ddc]

Для Loky:
Я не понял вопрос.

[Loky]

Для Loky:
Я не понял вопрос.

↑

ISA дает туеву хучу сервисов, к какому именно ты цепляешься?

[ddc]

А как это можно узнать? Цепляюсь я при помощи Microsoft Firewall Client, т.е. видимо ISA просто пропускает меня через Firewalll...

[Loky]

А как это можно узнать? Цепляюсь я при помощи Microsoft Firewall Client, т.е. видимо ISA просто пропускает меня через Firewalll...

↑

?
На ИСА авторизация включена? Если выключена то он должен выглядеть как обычный рутер. Блин, дожили, винды саппортю...

[ddc]

Авторизации нет, соединяюсь через клиент (Microsoft Firewall Client).

[Igor B.]

Наверное, исходя из "частоты" вопроса, надо создавать "Проект нашего форума". Точнее два проекта. В которых попытаться решить поставленные ниже задачи (сразу говорю - я решения не знаю). Общее условие - временно забываем про http и ftp, для которых понятие "прокси-сервер" определено в RFC (и прекрасно реализуется в обеих задачах). В качестве примера можно взять протокол POP3 и решать задачи на его основе.

Общие условия:
Есть корпоративная сеть (домен на базе W2000, W2003). Адреса и сетевые настройки клиентам раздаются через DHCP. Т.е. делать привязки по ip-адресам нельзя. Адреса локальные (немаршрутизируемые). Т.е. на "пограничннике" работает NAT. В сети есть как Windows-, так и Linux-клиенты. Основным атрибутом разграничения доступа в И-нет является доменное имя пользователя.

Задача 1. Выход в И-нет осуществляется через ISA-сервер, доступ к протоколам разрешен пользователям определенных групп домена. Как Linux-клиенту снять почту с удаленного сервера? Т.е. чем заменить Microsoft Firewall Client?

Задача 2. Выход в И-нет осуществляется через Linux-маршрутизатор (предположительно с iptables, можно предложить что-то другое). Как установить ограничение на пропуск протокола по именам пользователей? Как осуществить журналирование доступа с включением имен пользователей?

Если модераторы заценят эти вопросы как заслуживающие внимания - прошу кого-то переместить ответ в нужное место. Если нет - пусть здесь подыхает...

[scorpio]

Задача 1. Выход в И-нет осуществляется через ISA-сервер, доступ к протоколам разрешен пользователям определенных групп домена. Как Linux-клиенту снять почту с удаленного сервера? Т.е. чем заменить Microsoft Firewall Client?

Доступ на WWW осуществляется обычной NTLM авторизацией пользователя в броузере, где в качестве прокси стоит твоя ISA. MS-FW-Client не замеишь ничем, только если Линуха Виндами. На ISA мона как-то было поднять SOCKS, но так ли это -- не помню. Рой в этом направлении.

Задача 2. Выход в И-нет осуществляется через Linux-маршрутизатор (предположительно с iptables, можно предложить что-то другое). Как установить ограничение на пропуск протокола по именам пользователей? Как осуществить журналирование доступа с включением имен пользователей?

В Линухе была такая возможность разграничение доступа в инет через IPTABLES, но только по SID-ам локальным... Соответственно, ты на файрволе заводишь всех пользователей, поднимаешь типа NIS-домена... и вперед...

[Igor B.]

Кто-то когда-то сказал "Я знаю, что задача не имеет решения. Я хочу знать, как ее решать".

Конкретно о сказанном:
1. На ИСА есть SOCKS-прокси. Только как заставить линуксы авторизоваться?

2. Насколько я знаю, у iptables нет проверки по SID-ам (даже локальных пользователей). Есть понятие owner, который по сети не передается. А насчет NIS-домена - как туда заносить виндовых пользователей? ручками? И как заставить винды идентифицироваться локальными сидами?

[Kaster Troy]

если я не ошибась, то начиная с 2k виндов, NTLM авторизация не используется по умолчанию, а используется керборос..

далее.. если тачка имеет статический адрес, то просто создаешь правило и рулишь не доменным именем а ай.пи.адре.сом

если адрес DHCP, то рулить так, смысла нет, выйдет срок аренды и все.. можно попробовать по имени машины, не уверен, есть ли там возможность через ДНС его крутить назад (я не пробовал).

ЗЫ. заменить ISA Firewoll Client ничем нельзя.. а нужен он только лишь для "прозрачного" доступа к исе.. ты его и на виндах можешь не ставить. только придется в броузере прокси прописывать, и на всем используемом софте указывать..

[Igor B.]

Это все известно. На практике, как правило, не применяется - ни статическая адресация, ни привязка по именам машин (от пересадки юзера за другой компьютер его права не должны меняться). Поэтому я и дал себе труд четко сформулировать условия задачи.

Далее - примитивная провокация: :P
Т.е. Линукс в смешанной сети, права в которой раздаются по именам пользователей, не рулит вааще - ни как клиент, ни как роутер. :devil_2:

[Kaster Troy]

Это все известно. На практике, как правило, не применяется - ни статическая адресация, ни привязка по именам машин (от пересадки юзера за другой компьютер его права не должны меняться). Поэтому я и дал себе труд четко сформулировать условия задачи.

Далее - примитивная провокация:  :P
Т.е. Линукс в смешанной сети, права в которой раздаются по именам пользователей, не рулит вааще - ни как клиент, ни как роутер.  :devil_2:

↑

Нууу знаете ли, чтобы рулить правами пользователей по их именам и дать возможность пересаживаться, нужна служба каталогов. А чтобы добиться значимого учета на исе при "альтернативной службе каталогов" сейчас не готов ответить, но думаю вопрос решаем..
ЗЫ. И все же я не пойму.. почему схема не реализуема? У меня машинка внутри сети стоит со FreeBSD на борту и по ее ай.пи на исе ведется учет.. работает должен вам сказать.. но опять же это случай с 1ой машинкой.. а когда их больше 20, то со статикой не разгуляться..

[Wizard]

Задача 1. Выход в И-нет осуществляется через ISA-сервер, доступ к протоколам разрешен пользователям определенных групп домена. Как Linux-клиенту снять почту с удаленного сервера? Т.е. чем заменить Microsoft Firewall Client?

а) Для случая, SOCKS на ISA Server, юниксовые SOCKS клиенты имеют скрипт, типа, socksify. Делает LD_PRELOAD библиотек SOCKS, которые берут параметры аутентификации из переменных окружения.
б) SOCKS сервер/клиент dante имеет какую-то поддержку MS Proxy... Может и заработает...

Задача 2. Выход в И-нет осуществляется через Linux-маршрутизатор (предположительно с iptables, можно предложить что-то другое). Как установить ограничение на пропуск протокола по именам пользователей? Как осуществить журналирование доступа с включением имен пользователей?

pppoe, pptp... А без них никак...

[Igor B.]

Нууу знаете ли, чтобы рулить правами пользователей по их именам и дать возможность пересаживаться, нужна служба каталогов. А чтобы добиться значимого учета на исе при "альтернативной службе каталогов" сейчас не готов ответить, но думаю вопрос решаем..
ЗЫ. И все же я не пойму.. почему схема не реализуема? У меня машинка внутри сети стоит со FreeBSD на борту и по ее ай.пи на исе ведется учет.. работает должен вам сказать.. но опять же это случай с 1ой машинкой.. а когда их больше 20, то со статикой не разгуляться..

↑

1. Давайте все-таки договоримся - не говорим про одну-единственную машину со статическим адресом.
2. Может быть, как-то можно рулить выходом в Инет через линукс-маршрутизатор через радиус-сервер? Классический iptables этого не понимает. Может быть, есть какие-то альтернативные пакеты? Или какое-то средство динамической загрузки правил iptables по данным радиус-сервера? Это было бы решение второй задачи - под виндами есть родной, хоть и кастрированный, радиус-сервер, который может брать данные с домен-контроллера.

а) Для случая, SOCKS на ISA Server, юниксовые SOCKS клиенты имеют скрипт, типа, socksify. Делает LD_PRELOAD библиотек SOCKS, которые берут параметры аутентификации из переменных окружения.
б) SOCKS сервер/клиент dante имеет какую-то поддержку MS Proxy... Может и заработает

Пробовал на практике? Что-то я сомневаюсь... Но очень интересно!

А pppoe - это геморрой. Не очень хотелось бы строить что-то монструозное для решения достаточно простой (по постановке :P ) задачи. Это усложняет настройку рабочих станций, настройку маршрутизации, диагностику проблем, их устранение. Это в промышленных (сотня-другая рабочих мест) масштабах неприемлемо.

[apple]

pppoe не геморой а самая лучшая вещь на сегодняшний день для контроля

[Wizard]

а) Для случая, SOCKS на ISA Server, юниксовые SOCKS клиенты имеют скрипт, типа, socksify. Делает LD_PRELOAD библиотек SOCKS, которые берут параметры аутентификации из переменных окружения.
б) SOCKS сервер/клиент dante имеет какую-то поддержку MS Proxy... Может и заработает

Пробовал на практике? Что-то я сомневаюсь... Но очень интересно!

Что именно?
Если Вы имеете ввиду socksify, то это просто:

Код: Выделить всё

export SOCKS_USERNAME=user
export SOCKS_PASSWORD=pass
socksify firefox

Что же касается поддержки MS Proxy, то тут все гораздо хуже:

Versions after 0.92.0 have partial msproxy support. Dante allows UNIX clients to connect through a msproxy server. Only TCP is supported at the moment and authentication must be disabled. There are still problems with certain applications and some msproxy servers seem to crash after a while when using the Dante client.

Msproxy support is not being worked on anymore due to low customer interest.

[ddc]

А SMTP/POP3 через ISA?

[Wizard]

Аналогично, при наличии SOCKS на ISA Server:

socksify thunderbird