Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
ics70:proxy [2020/07/01 22:44] misha [Типы авторизации] |
ics70:proxy [2020/07/02 11:08] (текущий) misha [Типы авторизации] |
||
---|---|---|---|
Строка 29: | Строка 29: | ||
==== Типы авторизации ==== | ==== Типы авторизации ==== | ||
- | Прокси-сервер ИКС поддерживает три способа авторизации по: логину/паролю ИКС, через домен, kerberos. | + | Прокси-сервер ИКС поддерживает три способа авторизации по: логину/паролю ИКС, через домен, Kerberos. |
- | Авторизация по ip-адресу подходит для случаев, когда пользователь постоянно пользуется одним и тем же компьютером. Прокси определяет, какому пользователю принадлежит тот или иной трафик, исходя из ip-адреса его компьютера. Этот способ не подходит для терминальных серверов, так как в этом случае с одного ip-адреса работает несколько пользователей. Также этот способ не подходит для организаций, в которых пользователи постоянно перемещаются между рабочими местами. Кроме того, пользователь может сменить ip-адрес своего компьютера и, если не настроена привязка MAC-адреса к IP, ИКС примет его за кого-то другого. | + | **Авторизация по логину/паролю ИКС.** Если выбран данный тип авторизации, то Пользователь, при обращении на порт прокси-сервера, будет авторизован в зависимости от указанного порядка авторизации (либо по IP, либо по логину/паролю заведенному на ИКС). |
- | Авторизация по логину/паролю решает проблему привязки пользователей к собственному компьютеру. В этом случае при первом обращении к любому интернет-ресурсу, браузер выдаст пользователю запрос логина/пароля для доступа в интернет. Если в вашей сети пользователи авторизуются в домене, вы можете установить тип авторизации "Через домен". В таком случае, если ИКС подключен к контроллеру домена и в из домена были импортированы пользователи, авторизация будет выполнена прозрачно, без запроса логина/пароля. | + | **Авторизаия через домен (NTLM).** Если выбран данный тип авторизации, то Пользователи должны быть [[.:users#импорт_пользователей|импортированы]] и настроено [[.:samba#идентификация|сетевое окружение]]. В данном случае авторизация будет выполнена прозрачно, без запроса логина/пароля. |
Недостаток этого способа авторизации заключаются в том, что он не поддерживается прозрачным прокси, и во всех программах, обращающихся в интернет, необходимо прописывать адрес прокси-сервера. | Недостаток этого способа авторизации заключаются в том, что он не поддерживается прозрачным прокси, и во всех программах, обращающихся в интернет, необходимо прописывать адрес прокси-сервера. | ||
- | Кроме того, следует помнить о том, что авторизация на прокси используется только для http-трафика пользователей. Доступ в интернет для программ, использующих протоколы, отличные от http, регулируется межсетевым экраном, который имеет только один способ авторизации: по ip-адресу. Другими словами, если пользователь использует только авторизацию по логину/паролю, он не сможет пользоваться почтой, jabber-клиентом, torrent-клиентом и другими программами, не поддерживающими работу через http-прокси. | + | **Авторизация через Kerberos.** Если выбран данный тип авторизации, то необходимо добавить перенаправление [[.:dns|DNS]]-зоны домена на IP адрес одного или нескольких контроллеров домена или ИКС должен использовать контроллер домена как единственный днс сервер (настройки провайдера). А также адрес прокси сервера ИКС должен быть прописан в браузре как имя под которым ИКС введен в домен (например ics.company.ru). По IP работать не будет. |
+ | |||
+ | Кроме того, если Пользователь не прошел kerberos авторизацию ему будет предложено ввести логин/пароль для ldap авторизаци. Стоит отметить, что если не используется ldaps (ldap с сертификатом), то пароль при авторизации будет передаваться в открытом виде. | ||
==== Кеширование страниц ==== | ==== Кеширование страниц ==== |