Подсчёт трафа по пользователям AD

Хочется чтобы статистика трафа считалась не по ip, а по пользователям AD. Это реально?

Все, что через прокси - реально. squid+samba+ntlm+sams
Только прокси будет не прозрачный.

авторизация в сквиде через ad... а раз делаем авторизацию, то прозрачный прокси сделать нельзя, правильно мыслю?

а что насчёт обычного ip трафика подсказть можете?

Насколько я знаю, единственный путь это сделать юзерам доступ в инет через предварительно устанавливаемое подключение PPPoE/PPTP/итд. Да и то не могу сказать, как при этом можно вести вменяемые логи с привязкой к имени юзера.

Ну как, статичная привязка пользователь-впн айпи, и вот они логи в прозрачном сквиде.

Все равно нет привязки не-проксированного трафика к имени пользователя. Только к айпишнику.

1. В серьезных компаниях такое понятие как НАТ вообще отсутствует. Всё через прокси. 2. Прокси не надо делать прозрачным, нужно просто использовать либо раздачу прокси через групповые политики AD напрямую, либо раздавать путь к WPAD-скрипту через DHCP и AD. Второе универсальнее, т.к. в таком случае проксёй может пользоваться не только IE, но и другой софт, вроде автообновлялщиков. Зависит от.

VPN-айпишник привязан к пользователю железно. В чем проблема?

намёк на то что в серьёзных организациях кроме хттп-трафика больше никакой не ходит?

В основном - да. FTP нынче никто не использует почти, но и его сквид проксирует если нужно. Всякие скайпы-аськи, если разрешены, тоже работают либо через сквид, либо через сокс, всё с авторизацией в AD (группа, которой разрешена аська, к примеру).

Логи без юзернеймов неудобно читать. Кроме того, «железно привязывать» айпишник к логину это тоже работа, которую нужно делать, а лень.

Ну, если лень то забей. Больше никак не сделать. Самое верное решение - непрозрачный прокси плюс его форсирование на компах домена. Так сделано в большинстве случаев. ВПН с каждого компа это из разряда извращений.

Я о том, что ВПН с каждого компа это единственный известный мне универсальный способ привязать не-проксированный трафик к юзернейму. Если бы был менее извращенный способ, было бы хорошо, но увы.

авторизация в сквиде через ad... а раз делаем авторизацию, то прозрачный прокси сделать нельзя, правильно мыслю?

Правильно.

а что насчёт обычного ip трафика подсказть можете?

Если хочется именно по пользователям, а не по IP - давайте доступ через VPN pptp/pppoe/etc - все складываете в таблицу iptables с COUNT'ом, а потом выбираете из неё в базу.

Или ищите готовое решение.

намёк на то что в серьёзных организациях кроме хттп-трафика больше никакой не ходит?

http/https/ftp

А какой еще трафик нужен? Почта - дык она либо web, либо локальная (nat, если далеко). Что-то еще? Например openvpn через proxy с инкапсуляцией всего и вся - как вариант (там железно весь трафик будет к пользователю привязан).