https://www.opennet.me/openforum/vsluhforumID3/43389.html "Aутентификация Squid+Kerberos c LDAP авторизацией в Active Directory (http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html)"<br><br>URL: http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=17431<br> https://www.opennet.me/openforum/vsluhforumID3/43389.html#23 Mon, 21 Sep 2009 12:47:23 GMT В данном случае лучше разделить слои. Т.е., каждому -- своё. Squid умеет работать с RADIUS. OpenRADIUS, в свою очередь, умеет работать с AD или с IAS (который замечатльно работает с AD). Получается чистая и непорочная *никс-система. То, что надо для спокойного сна линукс-пуриста.<br> https://www.opennet.me/openforum/vsluhforumID3/43389.html#21 Sun, 24 Aug 2008 19:26:55 GMT &gt;никак не коррелирует с реальным положением дел.<br><br>Как же ты прав. Когда обслуживаешь один сервер, не понимаешь, что тут сложного, но когда их второй десяток на тебе и сервисов, ешь их мать, навалом, и разные. Начинаешь нервно думать, что ты сам себя где-то нае..л. А так, MS AD вещь в себе, отказ шлюза (другая машина) в принципе приводил к тому, что почта не заводилась. Только после рестарта самого сервера. Жуть...до сих пор не могу понять из-за чего. Чисто человеческое спасибо.<br><br> https://www.opennet.me/openforum/vsluhforumID3/43389.html#20 Fri, 22 Aug 2008 16:04:48 GMT &gt;Я не понимаю, чего все так взъелись. AD, предположим, уже есть. Воротить <br>&gt;что-то отдельно? Файлики с MAC-адресами? Заставлять пользователей вводить пароли <br>&gt;Падает AD? Ну дак, ребята, книжки почитайте, железо нормальное купите. Не ставьте <br>&gt;всё сразу на одну машину. Реплицируйте, бэкапьтесь. <br><br>Дорогой Ононим. Если бы Вы знали, сколько у нас в конторе серверов, сколько они стоят все вместе и по отдельности, и какого уровня люди все это обслуживают - Вы бы немедленно убились о ближайшую стенку от испепеляющей зависти и осознания собственного ничтожества.<br>Все Вами перечисленное и весь Ваш личный опыт (несомненно, полученный в последние полгода после покупки второго сервера начального уровня и прочтения толстого талмуда "Администрирования Windows 2003 для чайников") никак не коррелирует с реальным положением дел.<br><br><br><br><br> https://www.opennet.me/openforum/vsluhforumID3/43389.html#19 Fri, 22 Aug 2008 14:20:50 GMT Я не понимаю, чего все так взъелись. AD, предположим, уже есть. Воротить что-то отдельно? Файлики с MAC-адресами? Заставлять пользователей вводить пароли (RADIUS)? Зачем?<br><br>Падает AD? Ну дак, ребята, книжки почитайте, железо нормальное купите. Не ставьте всё сразу на одну машину. Реплицируйте, бэкапьтесь.<br><br>IMO - отличное решение. Юзерам удобно. Админу удобно. Что ещё надо?<br><br><br><br> https://www.opennet.me/openforum/vsluhforumID3/43389.html#18 Tue, 19 Aug 2008 16:43:44 GMT Кстати, насчёт сквида и аторизации, можно radius прикрутить ( и не только к нему).<br> https://www.opennet.me/openforum/vsluhforumID3/43389.html#17 Tue, 19 Aug 2008 03:42:29 GMT &gt;До покупки exchange почты не было только в одном случае - <br>&gt;если вырубалось электричество, после покупки почта вставала колом при каждом чихе в ДНС... <br><br>Открою страшную истину - форточки настраивать - тоже нужна голова и руки :)<br>Я так юзаю и то и то - беру так сказать лучшее из обеих миров ...<br> https://www.opennet.me/openforum/vsluhforumID3/43389.html#16 Tue, 19 Aug 2008 03:20:16 GMT &gt;&gt;делайте привязку по MAC/IP/Ident.<br>&gt;У таких решений проблемы с масштабированием и юзабельностью.Вот вы не лопните это <br>&gt;настраивать для 10 000 машин раскиданых по всей планете?А если надо <br><br>Да ради бога, не делайте привязку по MAC/IP/Ident, я это для примера привел, потому что КАК ПРАВИЛО - когда заводят речь об аутентификации пользователей squid в AD, подоплека у этого разговора одна - юзеры капризничают и не желают дважды вводить свой пассворд.<br>Я же считаю, что в данном случае потраченная на скрещивание squid и AD энергия достойна бы более полезного применения - скажем для развертывания LDAP-сервера под управлением unix взамен виндовому AD.<br> https://www.opennet.me/openforum/vsluhforumID3/43389.html#15 Tue, 19 Aug 2008 03:12:57 GMT &gt;за свой ISA например.Кроме того - возня единоразовая и не будет <br>&gt;траха с заведением на проксе аккаунтов потому как аккаунты юзеров в <br>&gt;этом случае уже есть - в AD, собственно.До некоторой степени практично <br><br>Ну да. Зато когда заглючивает контроллер домена, у пользователя нет ничего - ни сети, ни интернета, ни почты. Это мы уже проходили. Корпоративную почту отстоять не удалось, купили-таки эксчейндж, зато вскоре после получения вожделенного мелкософтовского продукта прекратились всякие разговоры о дальнейшем изничтожении юникс-серверов в конторе. До покупки exchange почты не было только в одном случае - если вырубалось электричество, после покупки почта вставала колом при каждом чихе в ДНС...<br> https://www.opennet.me/openforum/vsluhforumID3/43389.html#14 Tue, 19 Aug 2008 01:43:27 GMT &gt;не выдерживает никакой критики" мы дружно предпочли не заметить. <br><br>Я думаю что это вполне пригодится тем у кого есть виндовая инфраструктура с AD но совсем нет желания платить столько сколько MS хочет за свой ISA например.Кроме того - возня единоразовая и не будет траха с заведением на проксе аккаунтов потому как аккаунты юзеров в этом случае уже есть - в AD, собственно.До некоторой степени практично в ряде ситуаций.Надежность... ну, виндовые машины традиционно уходят в ребут как минимум 1 раз в месяц.<br>