=====Авторизация пользователей===== ==== Авторизация по IP ==== Cамым распространённым способом авторизации является авторизация по ip-адресу. Применяется в том случае, когда пользователи локальной сети имеют статические ip-адреса либо динамические ip-адреса, регистрируемые с привязкой к mac-адресу. Пользователь получает доступ во внешнюю сеть по всем протоколам в соответствии с глобальными и индивидуальными политиками доступа. Для того чтобы выдать пользователю ip-адрес, необходимо кликнуть на имя пользователя в списке в модуле «пользователи», при этом откроется страница с информацией о выбранном пользователе. Затем нужно открыть вкладку ip-адреса, нажать кнопку «добавить» и задать адрес, выделенный для этого пользователя. {{ ics70:auth_ip_1.png?direct&720x285 }} После чего назначенный адрес появится в списке адресов пользователя. Одному пользователю можно назначить любое количество ip-адресов. Также, если записать адрес в формате адрес/префикс возможно назначить пользователю диапазон адресов. {{ ics70:auth_ip_2.png?direct&1607x290 }} **Внимание! Ip-адрес довольно легко подделать. Злонамеренный пользователь может выдать себя за другого, просто поменяв сетевые настройки на своём компьютере. Для того, чтобы это предотвратить, воспользуйтесь функцией [[ics70:arp|привязки к MAC-адресу]]** ==== Авторизация по MAC ==== Данный вид авторизации удобен, когда в сети используются динамические адреса, но в качестве DHCP-сервера выступает не ИКС. Для того, чтобы добавить пользователю mac-адрес, перейдите во вкладку IP-адреса и нажмите Добавить - MAC-адрес. |{{ ics70:auth_mac_1.png?direct&720x287 }}| |{{ ics70:auth_mac_2.png?direct&1607x334 }}| ==== Авторизация по логину/паролю ==== После создания пользователя, если ему был задан логин и пароль, мы можем получить доступ к Интернету, прописав в настройках его веб-браузера прокси-сервер: 192.168.17.123 и порт 3128 (по умолчанию). При попытке выхода в Интернет, ИКС спросит у пользователя его логин и пароль. Такая схема работы называется «авторизацией по логину/паролю». Сама авторизация может осуществляться двумя методами: * по логину и паролю пользователя - пользователь, сделавший HTTP-запрос, получает первоначально приглашение на ввод своего логина и пароля доступа, а после успешной идентификации – результат запроса; * через домен - пользователь, зарегистрированный на сервере Active Directory, автоматически авторизуется на прокси-сервере. Второй метод возможен лишь в том случае, когда система [[ics70:samba|присоединена к домену]] Active Directory и пользователи [[ics70:users#импорт_из_домена|импортированы из домена]]. **Внимание! При этой схеме авторизации у пользователя не будет работать ICQ, почта, клиент-банк и другие программы которые работают не по протоколу HTTP.** ====Одновременная работа с двумя типами авторизации ==== Вы можете выпускать часть пользователей в интернет с использованием авторизации по логину/паролю, а часть - с использованием авторизации по Ip. При использовании порядка авторизации "сначала Ip потом логин/пароль": - Сначала проверяется Ip-адрес пользователя. Пользователи с известными Ip-адресами пропускаются. - Затем, если в браузере у пользователя в настройках прокси прописан адрес ИКС, то ему выдастся приглашение для ввода логина и пароля. Пользователи, которые ввели правильный логин и пароль пропускаются. - Остальные пользователи блокируются. Более подробно порядок авторизации объясняется на странице описания [[ics70:proxy| настроек прокси сервера]]. ====Другие типы авторизации==== Для того, чтобы пользователь c динамическим ip-адресом мог авторизоваться по логину/паролю и выходить во внешнюю сеть без ограничений, необходимо использование [[ics70:xauth|утилиты авторизации xauth]] либо [[ics70:proxy#веб-авторизация|веб-авторизации]]. Для ускорения процесса создания пользователей используется функция [[ics70:users|импорта]] После создания пользователей вы можете задать им правила доступа. ====Авторизация пользователей терминального сервера==== Для ИКС все пользователи, работающие через терминальный сервер неотличимы друг от друга по своим запросам в сети (в качестве источника выступает один и тот же ip-адрес терминального сервера). Таким образом, для того чтобы разделить статистику и настройки доступа, вам необходимо указать прокси-сервер в настройках браузера каждого из терминальных пользователей. Тогда каждый пользователь будет зарегистрирован под своим логином, и запросы, проходящие через прокси будут идентифицироваться отдельно для каждого из пользователей терминала.