Author Topic: Фильтрация сайтов для пользователей (+ Win 2008R2 AD)  (Read 2072 times)

maximal

  • Zen Apprentice
  • *
  • Posts: 11
  • Karma: +0/-0
    • View Profile
Исходное состояние - Zentyal 2.2, используемый как гейт и прокси (политика по умолчанию Default policy - always deny), Active Directory на Windows Server 2008R2, прозрачный прокси.
Решил настроить запрет доступа в интернет к части сайтам.
Организовал network group - test_gr (суть не важно как называется), добавил в данную группу одну станцию тестирования (подопытный кролик).
Далее в Filter profiles создал новый профиль test_pf в котором добавил сайты  с политикой Always deny. Threshold оставил выключенным (но пробовал по разному потом).
Далее в Object Policies на самый верх добавил объект test_gr с политикой Filter и профилем test_pf.

Теперь проверка работы.
Вариант 1.
В настройках браузера не стоит явным образом прокси (без прокси) - используем прозрачность прокси. - Фильтрация работает.
Вариант 2.
Так как прозрачный прокси не занимается проксированием https, то принудительно указываем proxy. - И вот тут получаем что интернета нет, ни один сайт не отображается, и никаких сообщений не выдается.
При этом если мы в Object Policies для объекта test_gr ставим политику Always allow то все нормально работает и никакой фильтрации сайтов не происходит даже при явно указанном прокси.
В чем трабл?

Вариант 3. выключаем прозрачность прокси и в браузере явно указываем его. - все работает и фильтрация и https.

Пока решил убрать прозрачный прокси, но есть нюанс почему так не желательно. - Можно как-то использовать фильтрацию с прозрачным прокси но так что бы при явно указанном прокси в браузере интернет все равно бы работал?

Дальнейшее развитие видел так что бы подружить Zentyal  и Windows AD -  что бы уже управлять не сетевыми группами/объектами Zentyal, а на уровне групп пользователей Windows Active Directory. Что бы Zentyal использовал авторизацию Windows (осуществленный на рабочей станции с которой идет соединение с прокси) перед разрешением доступа в интернет.
На сколько я знаю такое делается но как?