Регистрация...

Eserv Forum / E3 / Eproxy 3 Support / Группы и proxy ACL

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
в HostBlackList.txt :

"*youtube*";"managers";;"NF"

Группа managers — существует, перечислены пользователи — менеджеры.

Блэклист нормально срабатывает для пользователей, авторизованных по authMD5, но не срабатывает, если авторизация через Ip-Mac.

Пользователи manager1,2,3 итп авторизуются не по authMD5 из UserList.txt, а по IpMacAuth.

Подскажите куда копать, чтобы в группы включались пользователи авторизованные по IpMacAuth?
 
Комментарии к этой версии (30.10.2009 22:28) [~miguel] 7865cafd
АвторДатаТекстtags
pig30.10.2009 23:28
В порядке бреда — в IpMacAuth надо полные логины указать, с доменом. Догадку можно проверить, посмотрев в DATA\log\stat\200910auth.txt
wikipost
miguel31.10.2009 02:25
miguel пишет: В порядке бреда — в IpMacAuth надо полные логины указать, с доменом. Догадку можно проверить, посмотрев в DATA\log\stat\200910auth.txt


Проверил. Результат тот же. В 200910auth.txt последнее значение в строке — "IpMacAuth".
Может быть с AuthSourсes что не так?

IsGroupMember проверяет списки IpMacAuth или только Userlist?
wikipost
ac31.10.2009 13:36
Да, тут загвоздка именно в том, что для каждого метода авторизации свой собственный IsGroupMember ({AUTH[AuthMethod]}Member), а метод авторизации выбирается по домену, а для случая IP-авторизации он не установлен, и пытается назначаться автоматически, что получится или нет в зависимости от многих других параметров конфигурации. Поэтому Игорь и предложил авторизовать с доменом. В этом файле 200910auth.txt смотрите не последнее значение в строке, которое и так понятно, а пред-предпоследнее, где пишется домен. Тот ли там домен, что и для парольно авторизованных пользователей?
wikipost
miguel31.10.2009 14:24
ac пишет: Поэтому Игорь и предложил авторизовать с доменом. В этом файле 200910auth.txt смотрите не последнее значение в строке, которое и так понятно, а пред-предпоследнее, где пишется домен. Тот ли там домен, что и для парольно авторизованных пользователей?


Теперь понял.

в 200910auth.txt пред-предпоследнее значение — пусто. ;;

Если пишу с доменом — то пишется ;mydomain;
wikipost
miguel31.10.2009 14:31
в группе managers тоже всех переписал с доменом.

блэклист не работает... здесь рыдающий смайлик.
wikipost
ac31.10.2009 15:06
Нет, больше ничего не надо было менять. Просто сравните записи в 200910auth.txt у тех (с явной авторизацией), у кого черный список нормально работает, с теми (ip-авторизация), у кого работает. Нам нужно добиться, чтобы домен был тот же, тогда и список групп будет проверяться тот же.

Если домен пустой ";;", то это тоже не беда: тогда просто берется домен по умолчанию (как указывали в ini). Если домен по умолчанию тот же, что у тех, у кого черный список работает, то будет работать и у этих с пустым доменом.

Кстати можно включить трассировку и посмотреть, какие именно списки смотрятся и какой метод авторизации. И сравнить в том и другом случае. Для этого в файле Eproxy\conf\OnStartup.rules.txt надо добавить в начале строку vDebugRules ON (точнее убрать в начале знак комментария "\", т.к. сама строка там есть по умолчанию, но не активна), перезапустить Eproxy и попробовать обратиться к запретному url'у двумя способами.
wikipost
miguel31.10.2009 21:12
ред: 31.10.2009 21:17
Трассировка vDebugRules ON показала : в eproxy.log
Rule;118851218;43;..\CommonPlugins\IsGroupMember.rules.txt GetStrByN error: -2004 33 43 GetLogStr error: -2004 31 43 LOG error: -2004 125 0 IsInFile 2009-10-31 21:04:54;192.168.0.99;Error 2004 in the rule file "..\CommonPlugins\IsGroupMember.rules.txt", line: 23, char: 38 2009-10-31 21:04:54;192.168.0.99;Error 2004 in the rule file "..\CONF\lists\proxy\HostWhiteList.txt", line: 6, char: 13

Очистил все списки White/Black/Host/Url. Ошибка пропала.

Начал заполнять списки по новой — ошибка появилась снова.

Как выяснилось, ошибка появляется и списки перестают работать как только добавляю строку в Hostwhitelist
"*";"sklad";;


Видимо ругается на одинокую звездочку?
wikipost
pig31.10.2009 22:03
LOG error: -2004 125 0 IsInFile

-2004 — это ошибка при обращении к несуществующей форматной строке журнала. Вот к этой:
125 List;{GetTickCount};{CurrentThreadNumber};{s};{s}

Похоже, у вас log.str.txt несколько того... устарел. А может, и не только он. Не переустановить ли последнюю версию?
wikipost
miguel31.10.2009 22:22
Да, 125 строки нет, сейчас добавлю.

Переустановить новую можно, но исправления за годы вносились как попало и куда попало.
Боюсь плохо кончится...
wikipost
miguel31.10.2009 22:40
Добавил, Всё работает! Странно только что ранее пока не было "*" и ошибка по стр.125 не возникала...

pig — спасибо! ac — спасибо!
wikipost
pig31.10.2009 22:44
Вообще-то обращение к строке 125 идёт в каждом IsInFile, если включена отладка правил (vDebugRules).
wikipost
miguel31.10.2009 23:12
так в чем же дело было? Не работало же.
wikipost
Работает на Eserv/5.05567 (10.02.2020)