Регистрация...

Eserv Forum / E3 / Eproxy 3 Support / Подключение группы к Инету

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Доброе утро, хочу узнать можно ли сделать? хочу дать доступ в инет определённой группе из AD, как это осуществить
 
Комментарии к этой версии (06.03.2007 09:13) [~ganesh] 573823ed
АвторДатаТекстtags
pig06.03.2007 10:43
Для начала — подключить авторизацию по AD:
  1. Создать источник авторизации с типом auth_nt и связать его с доменом AD
  2. Создать домен авторизации Eserv и связать его с этим источником
  3. Убедиться, что авторизация происходит
После этого можно раздавать права.
imported
ganesh13.03.2007 09:16
а если не затруднит можно по подробнее ,что где прописпть надо, на данный момент есть авторизация md5
imported
pig13.03.2007 10:22
Подробнее:
  1. Найти в CONF.orig в списке AuthSources пример источника авторизации, связанного с доменом AD. Их там даже два — "Proxy Access NT" и "NT domain". Имя домена AD указывается в поле AUTH_PAR. Сделать в своих настройках источник авторизации по образу и подобию.
  2. Найти в CONF.orig в списке LocalDomains пример домена, связанного с источником авторизации типа auth_nt. Называется my-nt-domain.com. Завести у себя по образу и подобию.
  3. Убедиться, что авторизация пользователей проходит.
  4. Потом будем думать дальше.
imported
ganesh13.07.2007 12:17
Добрый день, давайте продолжим, как проверить что она срабатыват
imported
pig13.07.2007 13:18
DATA\log\stat\{YYYYMM}auth.txt — там все попытки авторизации отмечаются.
imported
ganesh13.07.2007 13:34
pig пишет: Для начала — подключить авторизацию по AD:
  1. Создать источник авторизации с типом auth_nt и связать его с доменом AD
  2. Создать домен авторизации Eserv и связать его с этим источником
  3. Убедиться, что авторизация происходит
После этого можно раздавать права.


всё ок, авторизация я так понят прошла
2007-07-13 13:11:02;192.168.2.123;POP;*;scz.ru;0;NT domain
2007-07-13 13:11:05;192.168.2.123;POP;
*;scz.ru;0;NT domain
2007-07-13 13:11:58;192.168.2.77;POP;*;scz.ru;0;NT domain
2007-07-13 13:17:08;192.168.2.100;POP
*;scz.ru;0;NT domain

как раздовать права ?
imported
pig13.07.2007 14:21
Поиск по словам: IsGroupMember, HttpRequireAuth
imported
Point07.09.2007 09:12
Eproxy установлен на компе, не являющемся членом домена Win2003, тем не менее нужна авторизация по AD, т.е. юзеры домена должны иметь выход в Инет черз данный комп. Как можно это сделать?
Прописал настройки из темы.
При попытке соединения — Disabled by admin,
Лог :
2007-09-07 10:02:24;192.168.0.250;HTTP-PROXY;495;147;0;0;31;-;;3128;00-07-E9-0F-A5-F3
2007-09-07 10:02:31;192.168.0.250;HTTP-PROXY;418;147;0;0;32;-;;3128;00-07-E9-0F-A5-F3
2007-09-07 10:02:31;192.168.0.250;HTTP-PROXY;349;147;0;0;46;-;;3128;00-07-E9-0F-A5-F3
2007-09-07 10:03:32;192.168.0.250;HTTP-PROXY;614;147;0;0;78;-;;3128;00-07-E9-0F-A5-F3
2007-09-07 10:04:01;192.168.0.250;HTTP-PROXY;524;147;0;0;47;-;;3128;00-07-E9-0F-A5-F3
2007-09-07 10:04:01;192.168.0.250;HTTP-PROXY;512;147;0;0;31;-;;3128;00-07-E9-0F-A5-F3
2007-09-07 10:04:16;192.168.0.250;HTTP-PROXY;867;147;0;0;47;-;;3128;00-07-E9-0F-A5-F3

Т.е. авторизация не проходит. Где я ошибаюсь? Вводить PROXY в домен не хотелось бы.
imported
pig07.09.2007 10:31
Если компьютер не ввести в домен, авторизация по AD работать не будет. Контроллер его к себе не допустит. Может быть, можно как-то обойтись без полноценного ввода, но некие доверительные отношения нужны.
imported
Point07.09.2007 14:48
Понятно.
С авторизацией благополучно запутался
Пока разбираюсь только с PROXY

Начал с авторизации auth_md5. Конвертировал список пользователей из ESERV2, прописал локальный домен, поставил ему в соответствие источник авторизации "ESERV" (пример из поставки) — PROXY работает, убрал ВСЕ записи-строки из раздела "Пользователи,Домены" — Proxy работает, всех пускает и т.д....

Лог:
2007-09-07 15:45:03;192.168.0.210;HTTP-PROXY;432;38498;38473;415;312;-;;3128;00-04-23-55-2A-96
2007-09-07 15:45:03;192.168.0.210;HTTP-PROXY;432;21800;21775;415;234;-;;3128;00-04-23-55-2A-96
2007-09-07 15:45:04;192.168.0.210;HTTP-PROXY;725;5415;5390;702;171;-;;3128;00-04-23-55-2A-96
2007-09-07 15:45:04;192.168.0.210;HTTP-PROXY;703;12073;12048;680;219;-;;3128;00-04-23-55-2A-96
2007-09-07 15:45:04;192.168.0.210;HTTP-PROXY;0;0;0;0;46;-;;3128;00-04-23-55-2A-96

А как собственно "включить-отключить" авторизацию для PROXY?

Почтовый сервис ESERVa-3 дает возможность работать со своими почтовыми ящиками через WEB-интерфейс?
imported
pig07.09.2007 15:45
Point пишет: А как собственно "включить-отключить" авторизацию для PROXY?

HttpRequireAuth=1 в секции [PROXY] Eserv3.ini. Тогда неавторизованных не пустит, станет запрашивать логин и пароль.

Point пишет: Почтовый сервис ESERVa-3 дает возможность работать со своими почтовыми ящиками через WEB-интерфейс?

Надо ставить сторонние системы — nocc, IlohaMail, SquirrelMail. Все перечисленные работают с ящиками через IMAP.
imported
A V L12.09.2007 10:35
Если только для прокси, можно прямо в файл:

...Eserv3\Eproxy\conf\http-proxy\OnRequest.rules.txt

Вписать перед строкой
UID @ 0= | PROXY[HttpRequireAuth] >FLAG | Unauthorized PROXY \EOF

строку
IsGroupMember: ProxyUser 0= | Unauthorized "Доступ в Интернет. Введите имя пользователя и пароль" \EOF

Соответственно такая группа (ProxyUser) должна существовать и пользователь в нее должен быть прописан

Тогда доступ в Интернет будет только у них, а уже ограничения и тп через ACL делать.

На FTP прокси это не действует. Только на HTTP
imported
Работает на Eserv/5.05567 (10.02.2020)