Регистрация...

Eserv Forum / E3 / Eproxy 3 Support / Запрет доступа в инет по группам

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Форум читал долго, советы перепробовал все

— ситуация --
Авторизация в AD работает нормально
Запрос на имя пароль появляется
Если пароль не вводишь — пишет Unauthorized (PROXY)
Если нормально авторизуешься, в инет пускае всех авторизованных
В логах и статистике вижу, какой-пользователь, куда ходит
Файлы HostBlackList.txt HostWhiteList.txt UrlBlackList.txt UrlWhiteList.txt пустые

— задача --
1 необходимо, чтоб в инет пускало только мемберов определенной группы
2 при это можно было запрещать всем пользователям определенные сайты
 
Комментарии к этой версии (08.05.2007 10:33) [~User] 4b7f99cd
АвторДатаТекстtags
ac08.05.2007 19:20
Не надо было очищать списки ACL, там были полезные примеры...

См. http://www.eserv.ru/EproxyAcl
imported
User10.05.2007 05:14
спасибо за быстрый ответ

ac пишет: http://www.eserv.ru/EproxyAcl
линк еще раз внимательно перечитал

еще раз проверил
добавление этой строки в UrlBlackList.txt нисего не дает доступ в инет через прокси получают, как участники группы InternetUsers, так и все остальные

или что-то другое нужно прописывать?
imported
User14.05.2007 08:41
удалось добиться такого результата

HostBlackList.txt
"*";;;"AU"

HostWhiteList.txt
"*";"InternetUsers";;

в инет пускает только мемберов InternetUsers, но запретить ходить на определенные хосты не могу

если очищаю HostWhiteList.txt и HostBlackList.txt и в UrlBlackList.txt пишу
  • ;;;"IsGroupMember: InternetUsers 0= DUP | DROP AU" начинает пускать всех, кто авторизовался в домене, независимо от группы
imported
User14.05.2007 09:12
запись в UrlBlackList.txt
imported
rvm14.05.2007 20:44
User пишет: или что-то другое нужно прописывать?
Ваши исследования достойны похвалы Но, я бы заглянул в лог-файл Eproxy.log, и, заметив там сообщения об ошибках, незамедлительно отправил бы баг-репорт на support.
imported
User15.05.2007 06:52
rvm пишет: Ваши исследования достойны похвалы Но, я бы заглянул в лог-файл Eproxy.log
а в Eproxy.log смотрел, он перестал писаться пару мес назад видать после апдэйта на новую версию тож нужно разбираться будет

rvm пишет: и, заметив там сообщения об ошибках, незамедлительно отправил бы баг-репорт на support.
спасибо, ваш совет про сапорт помог.
но теперь возникает вопрос - как правильно написать правило для 3х групп? те чтоб пускало, только если пользователь мембер одной из трех групп

руководствуясь коротеньким хелпом
http://localhost:3140/conf/plugins/TrafC/ru/docs/man.rules.html пробовал
imported
rvm15.05.2007 11:57
как правильно написать правило для 3х групп? те чтоб пускало, только если пользователь мембер одной из трех групп
*;;;"IsGroupMember: InternetUsers IsGroupMember: InternetAdvancedUsers OR IsGroupMember: InternetOtherUsers OR 0= DUP | DROP AU"

Или, положить в отдельный файл is-non-internet-user.txt (например, рядом с Eproxy.exe):
0 IsGroupMember: InternetUsers OR IsGroupMember: InternetAdvancedUsers OR IsGroupMember: InternetOtherUsers OR 0= DUP | DROP AU

И записать в правиле (путь к файлу относительно расположения Eproxy.exe или абсолютный):
*;;;"is-non-internet-user.txt"
imported
User15.05.2007 12:24
спасибо отлично работает
imported
decard19.09.2007 12:00
У меня похожая проблема:
При
*;;;"NtIsMemberOf: ProxyUsers 0= DUP | DROP AU"

Пускает всех, не зависимо от группы.
Лог:
2007-09-19 17:51:34;10.0.4.50;Error 1073741819 in the rule file "..\CONF\lists\proxy\UrlBlackList.txt", line: 56, char: 48 1190191896.000 7078 10.0.4.50 TCP_MISS/200 550 GET http://msnportal.112.2o7.net/b/ss/msnportalhome/1/H.1-pdv-2/s248676613322?[AQB]&ndh=1&t=19/8/2007%2017%3A51%3A29%203%20-540&ns=msnportal&pageName=US%20HPMSFTN&g=http%3A//www.msn.com/&cc=USD&ch=www.msn.com&server=msn.com&c1=Portal&c2=en-us&c19=Dblu%2CW1%2CM5%2CF5%2CT5%2CE5%2CQ0&c22=False&c29=http%3A//www.msn.com/&s=1280x1024&c=32&j=1.3&v=Y&k=Y&bw=1259&bh=878&ct=lan&hp=N&[AQE] admin DIRECT/66.151.152.143 image/gif 0 1190191896.000 7312 10.0.4.50 TCP_MISS/200 751 GET http://rad.msn.com/ADSAdClient31.dll?GetSAd=&DPJS=0&PG=MSN9TP&AP=1376 admin DIRECT/65.54.195.185 text/html; 0 EXCEPTION! CODE:C0000005 ADDRESS:542D9E WORD:CMOVE REGISTERS: C7FE984 28 00 BE 2E 00 00 00 00 00 00 00 00 54 06 80 0C (.ѕ.........T.Ђ. C7FE994 01 3C 20 03 04 F0 80 0C BC FF 7F 0C 9E 2D 54 00 .< ..рЂ.јя.ћ-T. C7FE9A4 1B 00 00 00 02 02 01 00 B4 EB 7F 0C 23 00 00 00 ........ґл.#... USER DATA: C800654 THREAD ID: 1B8 HANDLER: C7FEC08 STACK: 00000000 00000414 00000000 2EBE0024 00000000 2EBE0028 [0C80F004] RETURN STACK: C7FEBB4 : 55DD0D STR+ C7FEBB8 : 5431F8 (LocalsExit) C7FEBBC : C <?not in the image> C7FEBC0 : 2F5157C <?not found> C7FEBC4 : C80F004 <?not found> C7FEBC8 : 0 <?not in the image> C7FEBCC : 55ED54 S! C7FEBD0 : 5AEEF5 ForEachGroupOfUser C7FEBD4 : 5431F8 (LocalsExit) C7FEBD8 : 18 <?not in the image> C7FEBDC : 0 <?not in the image> C7FEBE0 : 0 <?not in the image> C7FEBE4 : 0 <?not in the image> C7FEBE8 : 5AF0F0 IsMemberOf1 C7FEBEC : C80F004 <?not found> C7FEBF0 : 0 <?not in the image> C7FEBF4 : 5AF1AD NtIsMemberOf C7FEBF8 : 5AF1EA NtIsMemberOf: C7FEBFC : 555383 INTERPRET_ C7FEC00 : 55540A INTERPRET C7FEC04 : 544FDC CATCH C7FEC08 : C7FEC64 <?not found> END OF EXCEPTION REPORT 2007-09-19 17:51:36;10.0.4.50;Error 1073741819 in the rule file "..\CONF\lists\proxy\UrlBlackList.txt", line: 56, char: 48 1190191907.000 12812 10.0.4.50 TCP_MISS/200 1097 GET http://b.rad.msn.com/ADSAdClient31.dll?GetSAd=&DPJS=0&PG=MSNCNT&AP=1463 admin DIRECT/207.68.178.61 text/html; 0


Когда же
*;;;"IsGroupMember: ProxyUsers 0= DUP | DROP AU"

То наоборот не пускает никого, просит авторизации, ответ на которую не дает результатов.
Лог:
2007-09-19 17:54:26;10.0.4.50;Error 1073741819 in the rule file "..\CONF\lists\proxy\UrlBlackList.txt", line: 56, char: 48 1190192079.000 183641 10.0.4.50 TCP_MISS/200 6531 GET http://rad.msn.com/ADSAdClient31.dll?GetSAd=&DPJS=0&PG=MSNREC&AP=1440 admin DIRECT/207.68.178.16 text/html; 0 2007-09-19 17:54:40;10.0.4.50;Error 300 in the rule file "..\CONF\lists\proxy\UrlBlackList.txt", line: 56, char: 48 1190192082.000 2156 10.0.4.50 TCP_MISS/302 215 GET http://view.atdmt.com/ATA/view/msnnkbra0890000020ata/direct;wi.1;hi.1/01/ admin DIRECT/194.129.79.22 - 0 EXCEPTION! CODE:C0000005 ADDRESS:542D9E WORD:CMOVE REGISTERS: 60DE984 64 00 F0 53 00 00 10 06 00 00 00 00 54 06 0E 06 d.рS........T... 60DE994 F2 3B 83 01 04 F0 0E 06 BC FF 0D 06 9E 2D 54 00 т;ѓ..р..јя..ћ-T. 60DE9A4 1B 00 00 00 02 02 00 00 B4 EB 0D 06 23 00 00 00 ........ґл..#... USER DATA: 60E0654 THREAD ID: 62C HANDLER: 60DEC08 STACK: 00000000 00000358 00000000 53EE0024 060DFFC4 53EE0028 [060EF004] RETURN STACK: 60DEBB4 : 55DD0D STR+ 60DEBB8 : 5431F8 (LocalsExit) 60DEBBC : C <?not in the image> 60DEBC0 : 60FBC54 <?not found> 60DEBC4 : 60EF004 <?not found> 60DEBC8 : 60DFFC4 <?not found> 60DEBCC : 55ED54 S! 60DEBD0 : 5AEEF5 ForEachGroupOfUser 60DEBD4 : 5431F8 (LocalsExit) 60DEBD8 : 18 <?not in the image> 60DEBDC : 0 <?not in the image> 60DEBE0 : 0 <?not in the image> 60DEBE4 : 0 <?not in the image> 60DEBE8 : 5AF0F0 IsMemberOf1 60DEBEC : 60EF004 <?not found> 60DEBF0 : 60DFFC4 <?not found> 60DEBF4 : 5AF1AD NtIsMemberOf 60DEBF8 : 5AF1EA NtIsMemberOf: 60DEBFC : 555383 INTERPRET_ 60DEC00 : 55540A INTERPRET 60DEC04 : 544FDC CATCH 60DEC08 : 60DEC64 <?not found> END OF EXCEPTION REPORT 2007-09-19 17:54:40;10.0.4.50;Error 1073741819 in the rule file "..\CONF\lists\proxy\UrlBlackList.txt", line: 56, char: 48 1190192083.000 3781 10.0.4.50 TCP_MISS/301 372 GET http://g.msn.com/0AD00061/1202609.4??PID=4066720&UIT=G&TargetID=1122962&AN=1763920329&PG=MSNREC admin DIRECT/207.68.179.219 - 0 1190192164.000 16 10.0.4.50 TCP_DENIED/407 254 GET http://go.microsoft.com/fwlink/?LinkId=69157 - DIRECT/ - 0 1190192168.000 281 10.0.4.50 TCP_DENIED/407 160 GET http://go.microsoft.com/fwlink/?LinkId=69157 admin DIRECT/ - 0 1190192171.000 47 10.0.4.50 TCP_DENIED/407 160 GET http://go.microsoft.com/fwlink/?LinkId=69157 admin DIRECT/ - 0
imported
pig19.09.2007 12:30
С группами AD работать проблематично. Для этого надо иметь привилегии, которые у сервиса, выполняющегося на рядовой машине домена, отсутствуют. Я это так и не смог обойти, поэтому пользую кросс-доменную группировку: группы заведены локально на прокси-машине, а пользователи в них включены из домена. Поддерживается плагином groups_ext. Надо определить второй домен авторизации, связанный с локальной машиной. Группы будут проверяться так:
IsGroupMember: ProxyUsers@local
local — это предполагаемое имя второго домена.
imported
ac19.09.2007 23:30
decard пишет:
При
*;;;"NtIsMemberOf: ProxyUsers 0= DUP | DROP AU"

Пускает всех, не зависимо от группы.

Этот код вообще неправильный. Перед "NtIsMemberOf:" должно быть имя пользователя, которого в вашем примере нет. Потому и exception'ы.

Надо использовать IsGroupMember:, тогда подставляется текущий авторизованный пользователь.

Можно поставить LogLevel: 7 в "Eproxy\conf\http-proxy\OnThreadConnect.rules.txt" и посмотреть в 200709acl.txt, как Eproxy перебирает группы при определении членства.
imported
decard20.09.2007 04:30
Попробовал, так же не пускает всех.
Лог 200709acl.txt:
2007-09-20 10:09:59;10.0.4.50;760;admin@slata.ru;UrlBlackList;TCP_DENIED;http://go.microsoft.com/fwlink/?LinkId=68928;*;;;IsGroupMember: ProxyUsers@sm.slata.ru 0= DUP | DROP AU

Лог Eproxy.log:
1190250599.000 32 10.0.4.50 TCP_DENIED/407 160 GET http://go.microsoft.com/fwlink/?LinkId=68928 admin DIRECT/ - 0

Может попробывать другой метод авторизации, а список тянуть скриптом через LDAP из AD?
imported
ac20.09.2007 10:45
Это всё, что появляется в логе acl при этом запросе? LogLevel: 7 точно включен?
imported
ac20.09.2007 10:50
decard пишет: Может попробывать другой метод авторизации,
Он ведь нормально вас авторизовал как admin@, т.е. собственно метод авторизации работает. Список групп — другое дело, если действительно прав не хватает, то можно его дублировать локально. А в веб-интерфейсе в разделе управления пользователями/группами NT список групп виден?
imported
decard20.09.2007 11:20
Это всё, что появляется в логе acl при этом запросе? LogLevel: 7 точно включен?

Посмотрел внимательно, включен и это все.

А в веб-интерфейсе в разделе управления пользователями/группами NT список групп виден?


Да, там все отлично видно, правда при попытке добавить пользователя в группу ProxyUsers появилась ошибка — Error: 1376.
Дело в том, что от самой авторизации толку мало. У меня есть другой метод проверки и регулирования доступа пользователя в Инет, т.е. я вполне мог бы обойтись и без проверки в самой проксе. Но у меня самый простой способ, доступ или есть или его нет. Поэтому и нужны группы. Народу много, руками добавлять не удобно.
imported
ac20.09.2007 11:31
decard пишет:
А в веб-интерфейсе в разделе управления пользователями/группами NT список групп виден?


Да, там все отлично видно

Значит прав на листание групп у сервиса хватает (в данном случае у acWEB). В чем отличие от Eproxy (код аналогичный) — надо подумать...

А имя сервера там (в веб-странице со списком групп) то же, что и в авторизации?
imported
decard20.09.2007 12:17
Нет. В источнике авторизации стоит sm.slata.ru. На веб-странице стоит smserver.sm.slata.ru. Если поставить на странице sm.slata.ru, то пишет нет доступа, а если в источнике авторизации smserver.sm.slata.ru, то не проходит авторизация.
imported
ac20.09.2007 12:29
Хитро. А это разные машины?
imported
decard20.09.2007 12:34
Я не уточнил. Машина smserver. Домен — sm.slata.ru, просто он 3-го уровня.
imported
pig20.09.2007 12:45
Имя домена должно быть в источнике авторизации.
imported
decard20.09.2007 12:54
Попробовал разные варианты поставить в поле "Источник авторизации", проходит только просто smserver. Sm.slata.ru не работает.
imported
decard24.09.2007 10:58
Неужели никак нельзя решить проблему?
imported
pig24.09.2007 14:26
Стоп. В поле "Источник авторизации" в LocalDomains пишется имя источника авторизации из AuthSources. А имя домена AD/локальной машины — оно пишется в поле AUTH_PAR соответствующего источника. Уточните, что куда пишете.
imported
decard26.09.2007 03:42
В поле AUTH_PAR источника написано — sm.slata.ru Сам источник называется smserver, способ авторизации — auth_nt.
В локальных доменах стоит: домен slata.ru (sm.slata.ru и то и другое проходит), источник — smserver.
imported
DSmile27.09.2007 09:53
Может ответ и запоздал, но по поводу мемберов групп доступа в инет.
Я еще их квотами рублю, создал группу с квотой 1Kb и туда всех неугодных (мыльных) юзеров. Заходи на прокси, авторизуйся, но тут же "квота исчерпалась"
А еще и band канал можно на минимум, но это уже лишнее
imported
ac27.09.2007 15:30
decard пишет: В поле AUTH_PAR источника написано — sm.slata.ru Сам источник называется smserver, способ авторизации — auth_nt.
В локальных доменах стоит: домен slata.ru (sm.slata.ru и то и другое проходит), источник — smserver.

decard пишет: На веб-странице стоит smserver.sm.slata.ru.


Если в AUTH_PAR поставить тот же smserver.sm.slata.ru, то не работает?

Кстати, пингуются все варианты имен?
imported
decard01.10.2007 11:17
Спасибо, разобрался.
Все оказалось просто, дело было действительно в sm.slata.ru, который не пинговался.
imported
Работает на Eserv/5.05555 (05.06.2016)