Регистрация...

Eserv Forum / E3 / Eproxy 3 Support / Квоты пользователя и консоль управления

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Перевёл сервер на PigProxy 2.3b5

Раньше было так: пользователь заходит по ссылке http://proxyserver:3140/trafc/stat_quotas.html и видит данные по своей квоте, при этом не вводит никаких логинов и паролей (всё по IP-авторизации).

После обновления: при попытке пользователя зайти по ссылке http://proxyserver:3140/trafc/stat_quotas.html выдаётся запрос логина/пароля, введя свои данные пользователь попадает в список статистики квот всех пользователей, и при этом ещё ему достаётся полностью админская консоль управления сервером !

Посмотрел по настройкам: вроде всё как и было раньше, авторизация по IP, каких-то новых опций не увидел.
Собственно вопросы:
  • отобрать от пользователя доступ к консоли администратора;
  • авторизировать пользователя по IP при просмотре квот;
  • выдавать пользователю только статистику его квоты
 
Комментарии к этой версии (06.05.2011 15:02) [~ND] 54f7cc60
АвторДатаТекстtags
pig06.05.2011 15:53
ред: 06.05.2011 15:54
Раньше какая версия была? А то я уже и не вспомню, что менялось.
Единственно вспомнил — поскольку 3140 есть вход на администраторский интерфейс, то требуется явная авторизация. Давнее ужесточение.
А личный кабинет пользователя пребывает в виртуальном каталоге /my/ — и это тоже давно. Там личная статистика TrafC и видна, и IP-авторизация допустима даже на админских портах.
wikipost
ND09.05.2011 08:28
ред: 09.05.2011 08:40
Действительно личная статистика пользователя находится по ссылке http://proxyserver:8085/my/ и там срабатывает IP-авторизация. Просто когда-то в какой-то использовалась другая ссылка через 3140 порт, и часть пользователей по-старинке её и использовала.
По ссылке http://proxyserver:8085/my/ для пользователя вся статистика равно 0. Никаких данных не отображается, только интерфейс.

И остаётся также вопрос про доступ пользователя к консоли управления. Я всегда считал, что доступ в консоль управления есть только у [HTTP][AdminUser]. Но выходит — ошибался.
В данный момент любой пользователь по ссылке http://proxyserver:3140, введя свой логин и пароль, получает доступ в консоль управления. Как это ограничить, оставив доступ только у [HTTP][AdminUser]?
wikipost
pig09.05.2011 16:15
ND пишет: По ссылке http://proxyserver:8085/my/ для пользователя вся статистика равно 0. Никаких данных не отображается, только интерфейс.

А http://proxyserver:8085/my/trafc/ что показывает? Или именно там нули? А по IP пользователи авторизуются и на прокси тоже? Просто пользователь там и там должен быть один, иначе действительно не увидится искомая статистика.
PROXY[UseCanalsCollect] — что там и что в CONF\lists\proxy\trafc\UserCanalsList.txt?

ND пишет: остаётся также вопрос про доступ пользователя к консоли управления.

HTTP[AdminUseAcls] должно быть ноль. А если не ноль (чтобы пустить к интерфейсу некоторых избранных, на что и был изначально расчёт), то надо определить права хотя бы на ..\script\control\wwwroot.pigmail\
wikipost
ND10.05.2011 07:52
Интересная картина получается.
PROXY[UseCanalsCollect]=1 — так и было.
Но ... в список CONF\lists\proxy\trafc\UserCanalsList.txt добавляется только один пользователь, который первым после старта EProxy вышел в Интернет (вот сейчас на моих глазах после старта — добавился третий). Сейчас в этом списке только 3 пользователя (вместо сотни). Вот у этих трёх пользователей со статистикой всё в порядке.

HTTP[AdminUseAcls] — там и так выставлен 0. Но запрашивается у пользователя логин/пароль и доступ к консоли управления открывается.
wikipost
pig10.05.2011 10:05
И пользователь вводит свой логин-пароль? Не админский? Если включён HTTP[LogToMaillog], надо заглянуть в DATA\stat\maillog\201105auth.txt, иначе смотреть по оперативному журналу, кем там авторизация идёт. У меня не получилось неадмином попасть в управление.

Про автозаполнение UserCanalsList.txt буду думать, сходу не понять. Модуль не мой, а пришлось его допиливать до совместимости с новыми фичами ядра Eserv, может, где и поломал невзначай. Посмотрите в Eproxy.log — там никаких ошибок не вылезает? И в DATA\log\ журнал ошибок HTTP-прокси тоже хорошо бы посмотреть.
wikipost
ND10.05.2011 10:42
ред: 10.05.2011 10:43
Пользователь вводит именно свой логин/пароль. По журналу DATA\stat\maillog\201105auth.txt видно, что авторизация идёт именно по пользователю.

В журналах никаких ошибок нет.
wikipost
pig10.05.2011 12:31
А можно глянуть кусочек из 201105auth.txt? Желательно выборку по протоколу HTTP. Можно в почту для секретности.
wikipost
ND10.05.2011 13:09
Выслал по почте.

Провёл эксперимент.
Попробовал получить доступ к http://proxyserver:3140 из другой подсети, которая не является нашей и не прописана в CONF\lists\LocalNetworks.txt.
Ввёл тот же самый логин/пароль пользователя — не пускает.
Сразу же попробовал из нашей подсети — пускает.
wikipost
pig10.05.2011 13:24
ред: 10.05.2011 13:27
Тогда пришлите ешё LocalNetworks — и IpWhiteList прокси/HTTP-прокси, если там что-то есть. Похоже, какая-то интерференция с IP-авторизацией у меня получилась нехорошая.

И PigMail2.ini до кучи.
wikipost
pig10.05.2011 13:45
Точно, есть интерференция, можете не присылать. Фича acWEB: обработчик заголовка Authorization: не сбивает выполненную IP-авторизацию. А я на это рассчитывал. Не только в админском интерфейсе, везде. Буду выкручиваться.
wikipost
Работает на Eserv/5.05555 (05.06.2016)