ISA + Squid

From

Urri Kotov (2:5054/9.17)

To

Dima Belonozhkin (2:5054/37.63)

Date

2004-01-26T15:03:36Z

Area

RU.WINDOWS.NT.INTERNET

Hello Dima!

Дело было Saturday January 24 2004 20:29, Dima Belonozhkin писал к All:

 DB>         На одном из серверов установлен Microsoft Internet Security &
 DB> Acceleration (ISA) Server (http://www.microsoft.com/isaserver/),
 DB> который реализует возможность прозрачного выхода пользователей в сеть
 DB> Internet. С этой целью на рабочих местах устанавливается ISA Firewall
 DB> client. Некоторые группы компьютеров подключены к серверу ISA через
 DB> весьма тонкие и дорогостоящие каналы. Поэтому есть желание для их
 DB> разгрузки установить в каждой такой группе прокси-сервер Squid
 DB> (http://www.squid-cache.org/), в частности его реализацию под Win32 -
 DB> SquidNT (http://www.acmeconsulting.it/SquidNT/).
[...]
 DB> В этой связи хотелось бы узнать насколько
 DB> реально заставить работать связку, где с одной стороны выступает
 DB> сервер ISA, а с другой - Firewall client + SquidNT? Или может быть
 DB> существуют другие, более эффективные способы решения вышеописанной
 DB> задачи?
Вариант "один" - может работать даже без Firewall клиента на машинах со
squid. Достаточно на ISA настроить правила, разрешающие работу на основе clients set, т.е. IP-адресов. ISA будет для машин со squid выглядеть гейтом
с NAT. Microsoft называет это "secure-NAT client". Проверял, работает. Можно настроить правила, разрешающие машине со squid использовать _не только_ HTTP.

Вариент "два" - так как ISA - это еще и прокси-сервер, можно просто каскадировать squid с ISA (создать цепочку из двух прокси). При этом
на ISA можно применять как правила на основе clients set ("авторизация по IP-адресу"), так и правила на основе учетной записи пользователя. Во втором случае надо проверить, умеет ли squid windows-integrated авторизацию. Если
не умеет - включить в ISA basic-авторизацию (она же clear-text, она же PAP).
Hint: пароль при каждои запросе будет ходить в открытом виде. Настраивал
эту схему с E-serv, он умеет только basic-авторизацию. Схема для "HTTP only"

Вариант "три" - таки поставить Firewall client'а на машщину со squid, и запускать сервис squid под учетной записью, известной ISA. Тонкое извращение. Сам не делал. Теоретически работать должно. Но зачем?..


 DB> FIPS: FmMB2 001400                      With best regards DAN
 DB> Belonozhkin !



 Будь!                  За избитые истины не бьют, Бьют за неизбитые.
 Urri.

---
 * Origin: Point Of WASP Station (2:5054/9.17)
SEEN-BY: 5020/52 5054/1 8 9 10 29 30 37 45 67 79 81

PATH: 5054/9 1 79 37