Регистрация...

Eserv Forum / E3 / Eproxy 3 Support / Группы NT, доступ в интренет через Eproxy

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Здравствуйте!

Хочу описать свою проблему. Может быть ее решение, которе я надеюсь здесь получить, будет интересно и другим.

Дано:
  1. Домен NT
  2. на другом сервере Eproxy 3 (без PigProxy!).
  3. В качестве домена авторизации — наш NT домен.
  4. UrlBlackList выглядит так:
  5. "*";;;"AU"
  6. UrlWhiteList выглядит так:
  7. "http://*mail.ru/*";"*";;"http://*tara.ru/*";"*";;"http://*yandex.ru/*";"*";;"*";"моя_личная_доменная_учетка";;
Достижения:
  1. IE при каждом запуске спрашивает авторизацию.
  2. Авторизация по доменным именам проходит нормально.
  3. На три разрешенных сайта попадает каждый авторизованный
  4. Я могу ходить куда угодно.
Проблема:
Eproxy игнорирует доменные группы. Если вместо "*";"моя_личная_доменная_учетка";; я напишу "*";"моя_доменная_группа";; то я уже никуда, кроме трех разрешенных сайтов не попаду.

Как это исправить?
 
Комментарии к этой версии (20.12.2007 12:24) [~solovanna] 145a382c
АвторДатаТекстtags
pig20.12.2007 16:09
Если прокси-машина не является контроллером домена, то работать с группами домена без бубна затруднительно. У кого-то получается, у кого-то нет. Подключите плагин groups_ext и заполните ExtendedGroupsList — будет у вас фиктивная группа в фиктивном домене, куда легко запишете кого угодно.

Я просто завёл локальные группы на самой прокси-машине, куда кооптировал нужных пользователей домена.
imported
solovanna20.12.2007 19:24
Этот плагин был мною запущен, еще до того, как я решилась писать на форум. ExtendedGroupsList на данный момент у меня выглядит так:
USER;IN_GROUP mikkie@lanknet;Elog@lankpost pig@lanknet;Elog@lankpost merlin@lanknet;Elog@lankpost pig@lanknet;test@virtual

Видимо, это что-то записанное там по умолчанию.

Где в Вэбинтерфейсе можно его редактировать?
Как создавать такие группы?
imported
pig20.12.2007 20:30
А зачем в web-интерфейсе? По-моему, в Блокноте быстрее будет. Но можно и через web добраться — "Просмотр и редактирование txt-списков" в меню, там найдёте. Прямой ссылки нет, к сожалению.

А создать группу просто. Домен авторизации вы знаете. Следовательно, пишете:
логин_в_домене@домен;придуманная_группа@домен

И эту придуманную группу указываете в ACL.
imported
solovanna21.12.2007 13:46
Попробовала выполнить Ваши рекомендации.
Ничего не вышло
Уточните, пожалуйста, придуманную группу надо писать в придуманном домене (как в примере, который приведен по умолчанию в ExtendedGroupsList (см выше)) , или в реальном моем NT домене (как рекомендовали Вы)?
В ACL надо писать "группа@домен", или достаточно просто "группа"?

Впрочем, я по-всякому пробовала. НЕ ПОЛУЧАЕТСЯ!
Может быть придуманный домен надо записать в список доменов как NT домен?
imported
solovanna21.12.2007 15:09
Пребывая в тоске и печали я добавила серверу, на котором стоит Eserv3 функцию домен контроллера (не главного, конечно), теперь на нем есть NT AD. Однако, это ничего не изменило — Eproxy продолжает игнорировать AD группы.
У меня более 70 юзеров. Толково прописать доступ без ГРУПП не реально — придется писать более 1000 строк в ACL.
Придумайте что-нибудь!
imported
ili_a21.12.2007 15:22
Попробуйте запустить сервис Eproxy с правами администратора.
imported
solovanna21.12.2007 15:26
Если я в своем уме, то именно с такими правами он и запущен. (А как иначе!)
Как это проверить?
imported
ili_a21.12.2007 15:46
пуск >панель управления >администрирование>>службы>
Выбираете службу Eproxy, и устанавливаете вход в систему с учетной записью администратора, желательно домена
imported
pig21.12.2007 15:58
solovanna пишет: В ACL надо писать "группа@домен", или достаточно просто "группа"?

Попробуйте группа@домен
Хотя должно работать и без домена, если в ExtendedGroupsList группа отнесена к домену по умолчанию (DefaultDomain).

А вообще покажите ваши настройки. Если здесь страшно, то в http://www.eserv.ru/Support
imported
solovanna21.12.2007 17:15
Отправила Вам на Support файлы с настройками и логи авторизации.
Что в них не так? Жду помощи. Номер обращения 5547.
imported
solovanna21.12.2007 17:22
ili_a! Я попробовала запускать службу Eproxy под правами администратора домена — это не дало эффекта. Но и по умолчанию там тоже стояли неслабые системные права.
imported
pig21.12.2007 18:34
Дублирую ответ здесь. Неверный домен в ExtendedGroupsList. Надо с суффиксом .ru

solovanna пишет: Но и по умолчанию там тоже стояли неслабые системные права.

Local System не имеет никаких прав за пределами машины, где работает. А для получения состава группы нужны права как минимум администратора этой группы.
imported
ili_a21.12.2007 22:23
У меня с правами админимтратора все работало и работает, правда не помню пользовался ли UrlBlackList, хотя наверно да. Попробуйте запускать с админскими правами, при отключеннном плагине groups_ext, у меня с ним (когда он появился) не получалось, насколько помню...
imported
solovanna21.12.2007 23:23
Большое спасибо, pig и ili_a!

Я добавила .ru в вымышленные группы ExtendedGroupsList и смогла-таки сделать разграничение доступа по группам. Вроде бы все работает. Тему можно было бы закрыть, но напоследок ма-а-ленький вопросик:
Если в UrlWhiteList есть строчка:
"*";"группа с большим доступом";;

А весь UrlBlackList состоит всего из одной строчки:
"*";;;"AU"

Есть ли возможность так дополнить UrlBlackList так, чтобы некоторые нехорошие сайты стали недоступными даже для "группы с большим доступом"?
imported
pig22.12.2007 01:26
Можно описать эти нехорошие сайты в UrlWhiteList, задав для них правило NF. Естественно, они должны быть ближе к началу списка, чем "*";"группа с большим доступом";;
imported
solovanna24.12.2007 15:18
Спасибо!
Все получилось. На нехорошие сайты теперь не пускают никого.

Все работает почти хорошо, но есть одно "но".
Всем авторизовавшимся можно заходить только на ограниченное число сайтов, описанных в UrlWhiteList. Их туда пускают, но требование авторизоваться вылезает иной раз по десять раз. Причем свой доменный пароль юзер обязан ввести только в первый раз, далее он может спокойно нажимать ESC и на сайт его в конце концов таки пустят. Но уж очень противно, когда, чуть ли не каждые 10 секунд это окно вылезает. Юзера меня повесят.

Это как-нибудь лечится?

Кстати, у группы с большим доступом такой проблемы нет. Авторизация спрашивается только один раз. И у простых юзеров такое происходит не на всех сайтах. На www.vw-autotrade.ru происходит, а на www.tara.ru — нет.
imported
pig24.12.2007 15:58
Ругань идёт, скорее всего, на рекламу, которая грузится на страницу с других сайтов. Надо эти левые ссылки найти в логах и заблокировать правилом AD.
imported
solovanna23.01.2008 14:59
Спасибо!
Это, действительно, левые ссылки: реклама и счетчики. Их отлов — высокое искусство.
Постепенно все приходит в норму.
imported
pppppp22.07.2008 13:37
Может, немного не в тему:
А может ли Eproxy авторизовать пользователей из другого (неродного) домена?
И как тогда описывать группы?
Уточняю:
Переводим всех пользователей в другой домен. решили перетащить и сервер с Eproxy.

Как обеспечить одновременную работу из обеих доменов.
Установили прокси на машину в новом домене, скопировали содержимое каталога, настроили новый IP. Домен не трогали.

Ни IP, ни принудительная авторизация не работают.

В 200807acl.log пишет
2008-07-22 16:00:38;10.82.0.34;0;pae@stavropol.so;HostBlackList;TCP_DENIED;www.ya.ru;*;;;AU

В ExtendedGroupsList.txt:
pae@stavropol.so;ad@rdupak

В HostWhiteList.txt:
"*";"ad@rdupak";;

В Eserv3\CONF\lists\proxy\trafc\RulesList.txt:
"IsGroupMember: ad@rdupak";"ad_ 5 Priority! \EOF";
imported
pig22.07.2008 15:20
pppppp пишет: Переводим всех пользователей в другой домен

Другой домен чего? Если AD, то сложно. Подозреваю, что нужны как минимум доверительные отношения между доменами, иначе авторизации не будет.

Тут ещё главное — чётко представлять, что у Eserv свои собственные домены, а отображение их на AD или что-то ещё настраивается через источники авторизации. То есть, можно всё передвинуть так, что пользователи ничего не заметят (если, конечно, логины/пароли в старом и новом источнике совпадают).

pppppp пишет: Ни IP, ни принудительная авторизация не работают.

Что в DATA\log\stat\200807auth.txt?
imported
pppppp22.07.2008 15:25
2008-07-22 16:00:38;10.82.0.34;HTTP-PROXY;pae;stavropol.so;0;stav
imported
pppppp22.07.2008 15:27
Программа-минимум была перевести сервер с прокси в новый домен (AD) с обеспечением поддержки пользователей из старого домена AD.
На поверку вышло, что пока не работает...
imported
pppppp22.07.2008 15:31
Источники авторизации не трогали.
При авторизации пробовали использовать имя пользователя как в формате "user@doman", так и "user". результат одинаковый.
Список пользователей старого домена через Web-интерфейс доступен (читается).
imported
pig22.07.2008 18:52
stav — это источник авторизации типа auth_nt? Привязан к старому домену AD?
imported
pppppp23.07.2008 07:08
Совершенно верно.
Соответствующая строка из AuthSource.txt:

"stav";"auth_nt";"rdudc1.stavropol.so";

Есть одно (одно из) сомнение — в Eserv3.orig.ini тип авторизации по умолчанию —
DefaultAuthSource="Eserv"
В Eserv3.ini параметр не указан.
imported
pig23.07.2008 09:37
Умочания — это если либо домен не найден, либо его источник. rdudc1.stavropol.so — это контроллер домена или сам домен так называется? По поведению Windows лично я сделал вывод, что должно быть NetBIOS-имя домена. У меня так прописано.
Да, а пользователи старого домена имеют на новом прокси право доступа по сети?
imported
pppppp23.07.2008 09:45
Но разве то, что список пользователей домена Stavropol.so виден из Web-окна администрирования Eproxy (Управление пользователями и группами Windows NT) не говорит о том, что источник авторизации описан корректно?
(В прежнем домене в AuthSource использовали имя домена "stavropol.so", имя контроллера добавили в исследовательских целях)
Пользователи старого и нового домена находятся в одной IP-сети, это одна организация.
Проверку работы прокси (клиентское HTTPP-подключение) делал с консоли самого сервера (где установлен Eproxy) в новом домене с использованием данных пользователя из старого домена.
imported
pppppp23.07.2008 09:51
Непонятно, проходит ли авторизация?
Или же не отрабатывает идентификация принадлежности к группе, допущенной в HostWhiteList.txt?
Почему в конце строки в *acl.log стоит *;;;AU?
imported
pig23.07.2008 10:52
pppppp пишет: Непонятно, проходит ли авторизация?

Не проходит:
2008-07-22 16:00:38;10.82.0.34;HTTP-PROXY;pae;stavropol.so;0;stav

Поэтому повторяю вопрос о правах пользователей — пользователям старого домена на новом прокси политиками AD сетевой доступ к машине разрешён? Видеть список пользователей — это одно, а пройти авторизацию пользователем — совсем другое.
У меня в таких случаях просветление обычно наступает после заглядывания в журнал безопасности прокси-машины. Надо только включить аудит событий входа в систему.
imported
pppppp23.07.2008 12:08
Пользователь, от имени которого выполняю вход (pae@stavropol.so) на прокси-сервере имеет пользовательские права (входит в локальную группу Users в составе группы "stavropol\Doman Users")
imported
pig23.07.2008 14:03
Включите аудит и посмотрите в журнале безопасности.
imported
pppppp24.07.2008 08:03
Аудит чего?
Если безопасности в целом, то он уже включен (т.е. в системном журнале "Безопасность" полно записей, но там не регистрируются мои обращения).
Сейчас ввел даже этого пользователя в группу локальных администраторов сервера, где установлен Eproxy
imported
pig24.07.2008 09:28
Аудит отказов входа в систему включён? У вас должны быть отказы.
imported
pppppp24.07.2008 09:38
Аудит включен
В Local Security Settings включен полный аудит в политиках:
Audit account logon events (success, failure)
Audit logon events (success, failure) отказы есть, но не относятся к моим попыткам
imported
pig24.07.2008 09:44
А если на контроллере домена посмотреть?
imported
pppppp25.07.2008 08:01
Сейчас пока некогда разбираться с обслуживанием двух доменов, решили развернуть два разных Eproxy для каждого домена (на время перехода).
Столкнулись с некоторыми сложностями:
Установили Eproxy на сервер в новом домене, скопировали содержимое каталога с Eproxy (в старом домене), откорректировали списки и INI-файлы.
При обращении клиента прокси выдает: "Disabled by Admin"
Кстати, мы не имеем доступа к управлению новым доменом, нам выдали полномочия по управлению одним OU — домен у нас корпоративный, а мы филиал.
imported
pig25.07.2008 09:17
Eproxy\conf\http-proxy\ip-list.rules.txt — отредактируйте или удалите.
imported
pppppp25.07.2008 09:30
С "Disabled by Admin" вроде разобрались.
Вернулась прежняя ошибка "Unauthorized (PROXY)"
imported
pig25.07.2008 10:32
В AuthSources что сейчас прописано — домен или контроллер?
imported
pppppp25.07.2008 11:00
Домен.
"oduyu";"auth_nt";"oduyu.so";

Выяснили, что авторизация проходит нормально.
По-крайней мере, если в HostWhiteList выставить
"*";;; то пользователя (из домена ODUYU) пускает только если ввести правильный пароль.
При неправильном пароле выдается тот же "Unauthorized (PROXY)", но в *acl.log ничего не пишет. В Log\Stat\*auth.txt пишет
2008-07-25 11:56:40;10.82.0.25;HTTP-PROXY;GlotovaIV;oduyu.so;0;oduyu
Может, все-таки с группами не лады, неправильно описана привязка пользователя к группе?
imported
pig25.07.2008 11:17
Если пишет ноль в статистику, то авторизации нет. Или ноль только при неверном пароле?
imported
pppppp25.07.2008 13:16
Да, при неверном пароле.
Сейчас поставили в ExtendedGroupsList суффикс групп "@oduyu.so" и все заработало.
Теперь неплохо бы еще разобраться со вторым доменом (старым), чтобы с этого же сервера и его пользователей обслужить на время миграции, чтобы за двумя серверами не следить...
imported
pig25.07.2008 16:57
Доверительные отношения между доменами есть? Пользователям старого домена разрешено доступаться до нового прокси по сети?
imported
Работает на Eserv/5.05555 (05.06.2016)