Различия

Здесь показаны различия между двумя версиями данной страницы.

--- ics70:proxy [2020/02/03 16:52]
misha [Настройки]
+++ ics70:proxy [2020/07/02 11:08] (текущий)
misha [Типы авторизации]
@@ Строка 15: / Строка 15: @@
 ===== Настройки =====
-{{.:proxy02.jpg|proxy02.png}}
+{{.:proxy02.png|proxy02.png}}
 {{.:proxy03.jpg|proxy03.jpg}}
@@ Строка 29: / Строка 29: @@
 ==== Типы авторизации ====
-Прокси-сервер ИКС поддерживает два способа авторизации: по ip-адресу пользователя, и по логину-паролю.
+Прокси-сервер ИКС поддерживает три способа авторизации по: логину/паролю ИКС, через домен, Kerberos.
-Авторизация по ip-адресу подходит для случаев, когда пользователь постоянно пользуется одним и тем же компьютером. Прокси определяет, какому пользователю принадлежит тот или иной трафик, исходя из ip-адреса его компьютера. Этот способ не подходит для терминальных серверов, так как в этом случае с одного ip-адреса работает несколько пользователей. Также этот способ не подходит для организаций, в которых пользователи постоянно перемещаются между рабочими местами. Кроме того, пользователь может сменить ip-адрес своего компьютера и, если не настроена привязка MAC-адреса к IP, ИКС примет его за кого-то другого.
+**Авторизация по логину/паролю ИКС.** Если выбран данный тип авторизации, то Пользователь, при обращении на порт прокси-сервера, будет авторизован в зависимости от указанного порядка авторизации (либо по IP, либо по логину/паролю заведенному на ИКС).
-Авторизация по логину/паролю решает проблему привязки пользователей к собственному компьютеру. В этом случае при первом обращении к любому интернет-ресурсу, браузер выдаст пользователю запрос логина/пароля для доступа в интернет. Если в вашей сети пользователи авторизуются в домене, вы можете установить тип авторизации "Через домен". В таком случае, если ИКС подключен к контроллеру домена и в из домена были импортированы пользователи, авторизация будет выполнена прозрачно, без запроса логина/пароля.
+**Авторизаия через домен (NTLM).** Если выбран данный тип авторизации, то Пользователи должны быть [[.:users#импорт_пользователей|импортированы]] и  настроено [[.:samba#идентификация|сетевое окружение]]. В данном случае авторизация будет выполнена прозрачно, без запроса логина/пароля.
 Недостаток этого способа авторизации заключаются в том, что он не поддерживается прозрачным прокси, и во всех программах, обращающихся в интернет, необходимо прописывать адрес прокси-сервера.
-Кроме того, следует помнить о том, что авторизация на прокси используется только для http-трафика пользователей. Доступ в интернет для программ, использующих протоколы, отличные от http, регулируется межсетевым экраном, который имеет только один способ авторизации: по ip-адресу. Другими словами, если пользователь использует только авторизацию по логину/паролю, он не сможет пользоваться почтой, jabber-клиентом, torrent-клиентом и другими программами, не поддерживающими работу через http-прокси.
+**Авторизация через Kerberos.** Если выбран данный тип авторизации, то необходимо добавить перенаправление [[.:dns|DNS]]-зоны домена на IP адрес одного или нескольких контроллеров домена или ИКС должен использовать контроллер домена как единственный днс сервер (настройки провайдера). А также адрес прокси сервера ИКС должен быть прописан в браузре как имя под которым ИКС введен в домен (например ics.company.ru). По IP работать не будет.
+Кроме того, если Пользователь не прошел kerberos авторизацию ему будет предложено ввести логин/пароль для ldap авторизаци. Стоит отметить, что если не используется ldaps (ldap с сертификатом), то пароль при авторизации будет передаваться в открытом виде.
 ==== Кеширование страниц ====

Документация

Инструменты пользователя

Инструменты сайта

Различия

Инструменты страницы