Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
ics70:proxy [2020/02/03 12:39] misha [Кеширование страниц] |
ics70:proxy [2020/07/02 11:08] (текущий) misha [Типы авторизации] |
||
---|---|---|---|
Строка 15: | Строка 15: | ||
===== Настройки ===== | ===== Настройки ===== | ||
- | {{.:proxy02.jpg|proxy02.jpg}} | + | {{.:proxy02.png|proxy02.png}} |
{{.:proxy03.jpg|proxy03.jpg}} | {{.:proxy03.jpg|proxy03.jpg}} | ||
Строка 29: | Строка 29: | ||
==== Типы авторизации ==== | ==== Типы авторизации ==== | ||
- | Прокси-сервер ИКС поддерживает два способа авторизации: по ip-адресу пользователя, и по логину-паролю. | + | Прокси-сервер ИКС поддерживает три способа авторизации по: логину/паролю ИКС, через домен, Kerberos. |
- | Авторизация по ip-адресу подходит для случаев, когда пользователь постоянно пользуется одним и тем же компьютером. Прокси определяет, какому пользователю принадлежит тот или иной трафик, исходя из ip-адреса его компьютера. Этот способ не подходит для терминальных серверов, так как в этом случае с одного ip-адреса работает несколько пользователей. Также этот способ не подходит для организаций, в которых пользователи постоянно перемещаются между рабочими местами. Кроме того, пользователь может сменить ip-адрес своего компьютера и, если не настроена привязка MAC-адреса к IP, ИКС примет его за кого-то другого. | + | **Авторизация по логину/паролю ИКС.** Если выбран данный тип авторизации, то Пользователь, при обращении на порт прокси-сервера, будет авторизован в зависимости от указанного порядка авторизации (либо по IP, либо по логину/паролю заведенному на ИКС). |
- | Авторизация по логину/паролю решает проблему привязки пользователей к собственному компьютеру. В этом случае при первом обращении к любому интернет-ресурсу, браузер выдаст пользователю запрос логина/пароля для доступа в интернет. Если в вашей сети пользователи авторизуются в домене, вы можете установить тип авторизации "Через домен". В таком случае, если ИКС подключен к контроллеру домена и в из домена были импортированы пользователи, авторизация будет выполнена прозрачно, без запроса логина/пароля. | + | **Авторизаия через домен (NTLM).** Если выбран данный тип авторизации, то Пользователи должны быть [[.:users#импорт_пользователей|импортированы]] и настроено [[.:samba#идентификация|сетевое окружение]]. В данном случае авторизация будет выполнена прозрачно, без запроса логина/пароля. |
Недостаток этого способа авторизации заключаются в том, что он не поддерживается прозрачным прокси, и во всех программах, обращающихся в интернет, необходимо прописывать адрес прокси-сервера. | Недостаток этого способа авторизации заключаются в том, что он не поддерживается прозрачным прокси, и во всех программах, обращающихся в интернет, необходимо прописывать адрес прокси-сервера. | ||
- | Кроме того, следует помнить о том, что авторизация на прокси используется только для http-трафика пользователей. Доступ в интернет для программ, использующих протоколы, отличные от http, регулируется межсетевым экраном, который имеет только один способ авторизации: по ip-адресу. Другими словами, если пользователь использует только авторизацию по логину/паролю, он не сможет пользоваться почтой, jabber-клиентом, torrent-клиентом и другими программами, не поддерживающими работу через http-прокси. | + | **Авторизация через Kerberos.** Если выбран данный тип авторизации, то необходимо добавить перенаправление [[.:dns|DNS]]-зоны домена на IP адрес одного или нескольких контроллеров домена или ИКС должен использовать контроллер домена как единственный днс сервер (настройки провайдера). А также адрес прокси сервера ИКС должен быть прописан в браузре как имя под которым ИКС введен в домен (например ics.company.ru). По IP работать не будет. |
+ | |||
+ | Кроме того, если Пользователь не прошел kerberos авторизацию ему будет предложено ввести логин/пароль для ldap авторизаци. Стоит отметить, что если не используется ldaps (ldap с сертификатом), то пароль при авторизации будет передаваться в открытом виде. | ||
==== Кеширование страниц ==== | ==== Кеширование страниц ==== | ||
Строка 49: | Строка 52: | ||
Содержимое кеша прокси-сервера можно посмотреть на вкладке "содержимое кеша". Следует отметить, что веб-интерфейс отображает не все содержимое кэша, а только некоторые элементы, такие как изображения. | Содержимое кеша прокси-сервера можно посмотреть на вкладке "содержимое кеша". Следует отметить, что веб-интерфейс отображает не все содержимое кэша, а только некоторые элементы, такие как изображения. | ||
+ | **"Сообщение о запрете доступа"**. Позволяет изменить текст выводимого сообщения Пользователю по умолчанию на произвольный, при блокировке трафика прокси сервером. В случае необходимости изменить дополнительные поля страницы блокировки, необходимо нажать на **"Редактировать HTML страницы запрета доступа"** и изменить необходимые поля HTML страницы. Если необходимо вставить изображение, на страницу, то используйте метод //data:URI//. | ||
==== Прозрачный прокси ==== | ==== Прозрачный прокси ==== | ||