[решено] Cisco ASA 5500 Series, firewall session и Kerberos
 

Добрый день. Планируется внедрение в сети компании устройства cisco ASA 5510. Сейчас есть Microsoft ISA Server 2006.
Cisco ASA 5510 будет работать в паре с Squid. Squid уже настроен, с Kerberos аутентификацией. Остается непонятным вопрос:
В документации http://www.cisco.com....html#wp1052982 сказано, что ASA сможет аутентифицировать сессии на фаерволе по протоколу Kerberos. Как это происходит? С http понятно как, а что происходит, когда, например, какая-нибудь программа пытается получить доступ в Internet, которая не может работать через прокси? В случае с ISA server и ISA Firewall Client все происходит прозрачно.

menpavel,

Это аутентификация для клиентов VPN
http://www.cisco.com/en/US/products/...808d1a7c.shtml

Прошу прощения за корявую ссылку. Вот нормальная:
http://www.cisco.com/en/US/docs/secu...html#wp1052982
Интересуют данные из таблицы 35-1. Как будет происходить аутентификация пользователей, например, Kerberos.
kim-aa, я бы хотел сделать так, чтобы проводилась аутентификация пользователя на фаерволе (ASA) как можно прозрачнее для самого пользователя. Все пользователи в домене.

menpavel,

Это происходит вот так http://www.ciscopress.com/articles/a...52963&seqNum=4

Т. е. перехватывается первая http сессия и выводится требование по аутентификации.

Если вы внимательно прочтете это http://www.ciscopress.com/articles/a....asp?p=1552963
то увидите, что авторизация возможна только с TACACS+, т.е. без сервера TACACS+ не возможно управлять доступом.
С RADIUS возможна только идентификация и аутентификация, т.е. имя и пароль.

kim-aa, спасибо. Почти все понял.
Думаю, что ASA будет отличным фаерволом.
А на счет работы других приложений, которые не могут работать через прокси сами - можно будет воспользоваться проксификатором. С минимальным необходимым функционалом его можно будет написать самому.