Инструменты пользователя

Инструменты сайта


ics70:auth_user

Авторизация пользователей

Авторизация по IP

Cамым распространённым способом авторизации является авторизация по ip-адресу.

Применяется в том случае, когда пользователи локальной сети имеют статические ip-адреса либо динамические ip-адреса, регистрируемые с привязкой к mac-адресу. Пользователь получает доступ во внешнюю сеть по всем протоколам в соответствии с глобальными и индивидуальными политиками доступа.

Для того чтобы выдать пользователю ip-адрес, необходимо кликнуть на имя пользователя в списке в модуле «пользователи», при этом откроется страница с информацией о выбранном пользователе.

Затем нужно открыть вкладку ip-адреса, нажать кнопку «добавить» и задать адрес, выделенный для этого пользователя.

После чего назначенный адрес появится в списке адресов пользователя. Одному пользователю можно назначить любое количество ip-адресов. Также, если записать адрес в формате адрес/префикс возможно назначить пользователю диапазон адресов.

Внимание! Ip-адрес довольно легко подделать. Злонамеренный пользователь может выдать себя за другого, просто поменяв сетевые настройки на своём компьютере. Для того, чтобы это предотвратить, воспользуйтесь функцией привязки к MAC-адресу

Авторизация по MAC

Данный вид авторизации удобен, когда в сети используются динамические адреса, но в качестве DHCP-сервера выступает не ИКС. Для того, чтобы добавить пользователю mac-адрес, перейдите во вкладку IP-адреса и нажмите Добавить - MAC-адрес.

Авторизация по логину/паролю

После создания пользователя, если ему был задан логин и пароль, мы можем получить доступ к Интернету, прописав в настройках его веб-браузера прокси-сервер: 192.168.17.123 и порт 3128 (по умолчанию).

При попытке выхода в Интернет, ИКС спросит у пользователя его логин и пароль. Такая схема работы называется «авторизацией по логину/паролю».

Сама авторизация может осуществляться двумя методами:

  • по логину и паролю пользователя - пользователь, сделавший HTTP-запрос, получает первоначально приглашение на ввод своего логина и пароля доступа, а после успешной идентификации – результат запроса;
  • через домен - пользователь, зарегистрированный на сервере Active Directory, автоматически авторизуется на прокси-сервере.

Второй метод возможен лишь в том случае, когда система присоединена к домену Active Directory и пользователи импортированы из домена.

Внимание! При этой схеме авторизации у пользователя не будет работать ICQ, почта, клиент-банк и другие программы которые работают не по протоколу HTTP.

Одновременная работа с двумя типами авторизации

Вы можете выпускать часть пользователей в интернет с использованием авторизации по логину/паролю, а часть - с использованием авторизации по Ip.

При использовании порядка авторизации «сначала Ip потом логин/пароль»:

  1. Сначала проверяется Ip-адрес пользователя. Пользователи с известными Ip-адресами пропускаются.
  2. Затем, если в браузере у пользователя в настройках прокси прописан адрес ИКС, то ему выдастся приглашение для ввода логина и пароля. Пользователи, которые ввели правильный логин и пароль пропускаются.
  3. Остальные пользователи блокируются.

Более подробно порядок авторизации объясняется на странице описания настроек прокси сервера.

Другие типы авторизации

Для того, чтобы пользователь c динамическим ip-адресом мог авторизоваться по логину/паролю и выходить во внешнюю сеть без ограничений, необходимо использование утилиты авторизации xauth либо веб-авторизации.

Для ускорения процесса создания пользователей используется функция импорта

После создания пользователей вы можете задать им правила доступа.

Авторизация пользователей терминального сервера

Для ИКС все пользователи, работающие через терминальный сервер неотличимы друг от друга по своим запросам в сети (в качестве источника выступает один и тот же ip-адрес терминального сервера). Таким образом, для того чтобы разделить статистику и настройки доступа, вам необходимо указать прокси-сервер в настройках браузера каждого из терминальных пользователей. Тогда каждый пользователь будет зарегистрирован под своим логином, и запросы, проходящие через прокси будут идентифицироваться отдельно для каждого из пользователей терминала.

ics70/auth_user.txt · Последние изменения: 2020/01/27 16:28 (внешнее изменение)