Регистрация...

Eserv Forum / E3 / Eserv 3 Web and FTP Servers Support / Ошибки авторизации

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Решил настроить доступ особо доверенным лицам к Elog и TrafC

Создал группу Elog@домен. В ней один пользователь 1@домен
В ACL прописал

..\Elog\cgi-bin\Elog.cgi;;Elog@домен;;;ACCESS:EXEC;0;"Eserv statistics";;;
..\Elog\static\;;Elog@домен;;;ACCESS:READ;0;"Eserv statistics";;;
..\Elog\index.cgi;;Elog@домен;;;ACCESS:EXEC;0;"Eserv statistics";;;
..\Elog\;;Elog@домен;;;ACCESS:NONE;1;;;;


В итоге пользователь получил доступ к Elog

16:48:56 2606
Connection from: 192.168.7.1:2565 16:48:56 2606 Connected 16:48:56 2606 GET /elog/cgi-bin/Elog.cgi HTTP/1.0 16:48:56 2606 Accepted 16:48:56 2606 Authorized as: 1@домен 16:48:56 2606 Access by ACL: ----X 16:48:56 2606 ACL: SendFile 16:48:56 2606 Executing request: EXEC_CGI 16:48:56 2606 Request completed: EXEC_CGI/200 443/11013 application/octet-stream 16:48:56 2606 STAT: 443:11013:0:0:188 [/quote:3d04b1b5e7]
...но он получил доступ и к всему остальному, что совершенно не планировалось

16:50:33 2609
Connection from: 192.168.7.1:2671 16:50:33 2609 Connected 16:50:33 2609 GET /iniedit.html?chapter_name=smtp HTTP/1.0 16:50:33 2609 Accepted 16:50:33 2609 Authorized as: 1@домен 16:50:33 2609 Access by ACL: -LR-X 16:50:33 2609 ACL: SendFile 16:50:33 2609 Executing request: EXEC_CGI 16:50:34 2609 Request completed: EXEC_CGI/200 452/36792 application/octet-stream 16:50:34 2609 STAT: 452:36792:0:0:593 [/quote:3d04b1b5e7]
Помогите, плиз. Кстати, а можно ли сделать ip-авторизацию?
Судя по
Connection from: 192.168.7.1:2671 нет?
Реплика. В ACL пишется группа@домен, и в GroupsList.txt тоже должен быть группа@домен, домен по умолчанию не подставляется почему-то
 
Комментарии к этой версии (17.12.2008 16:53) [~DAC] 414b4243
АвторДатаТекстtags
pig17.12.2008 17:55
Если это подключение на порт 3140, то там некая особица есть. Поскольку назначение у порта не рядовое. Вариант разграничения доступа к разделам интерфейса в теории заложен, но на практике пока даже не обдумывался как следует. Есть такое мнение, что нужны особые ACL и поддержка в самих скриптах интерфейса. Потому как доступ к редактору настроек можно пока разрешить/запретить только целиком, а по категориям не выйдет.

Рядовые юзеры, пусть даже доверенные, должны ходить на обычный (не админский) порт по прямой ссылке.

IP-авторизацию для HTTP-сервера сделать можно. При условии, что юзеры будут ходить на сервер напрямую, а не через Eproxy.

Чобы для групп работало правило домена по умолчанию, надо включить расширенную группировку. В документации об этом есть, в каждом месте, где в списке поле группы встречается. Может быть, не очень внятно только написано.
Я у себя сейчас везде явно домен указываю, даже в настройках почтовых клиентов. В браузере только ленюсь...
imported
DAC17.12.2008 18:10
Спасибо

Рядовые юзеры, пусть даже доверенные, должны ходить на обычный (не админский) порт по прямой ссылке.


А могут ли он так добираться до Elog и TrafC? И главное как?
imported
pig17.12.2008 18:49
Для ELog трансляция путей изначально настроена. TrafC имеется в виду в личном кабинете? Виртуальный каталог /my/ можно открыть на рабочем порту. По умолчанию не открыт, но это один тык в настройках web-интерфейса (Раздел пользователя — открытый). В принципе, туда можно и на 3140 ходить, пользователю оттуда выхода нет, там авторизация отдельная от администраторского раздела.
http://<eserv>/elog/
http://<eserv>/my/
imported
DAC19.12.2008 12:31
Спасибо!

С просмотром статистики Elog вопрос решился.

А относительно TrafC, имелось ввиду управление квотами. Очень нужно перепоручить, но очень не хочется пускать никого в web-интерфейс.
Попробую изобрести, что-нибудь альтернативное.
imported
pig19.12.2008 12:54
Понял. Допуск к управлению только квотами можно сделать через выдачу прав на каталоги и файлы. Что-то типа запретить всем доступ к script\control\wwwroot.pigmail\ (себе, конечно, разрешить + администратор, прописанный в INI, доступ получает ко всему) и дать доверенным лицам доступ на чтение и выполнение к script\control\wwwroot.pigmail\trafc\ — пусть по прямой ссылке ходят. Да, ещё нужен доступ на чтение к script\control\wwwroot.pigmail\fs\ и script\control\wwwroot.pigmail\js\
imported
DAC19.12.2008 14:49
А как должна выглядеть прямая ссылка?
imported
pig19.12.2008 15:36
Вот так примерно:
http://<eserv>:3140/trafc/control_quotas.html

Собственно, они все в левом меню интерфейса есть, ничего же не поменяется.
А вообще надо там индекс сделать...
imported
DAC22.12.2008 11:37
В мозгах наступила полная разруха.

  1. Если ссылка выглядит
    2. http://<eserv>:3140/trafc/control_quotas.html то получается, что настройка прав в вэб-интерфейсе все-таки есть.
  1. Конструкция
    2. ..\script\control\wwwroot.pigmail\trafc\;;Elog@домен;;;ACCESS:RX;1;;;;..\script\control\wwwroot.pigmail\fs\;;Elog@домен;;;ACCESS:READ;1;;;;..\script\control\wwwroot.pigmail\js\;;Elog@домен;;;ACCESS:READ;1;;;;
    Дает результат
    11:17:59 4
    Connection from: 192.168.7.11:1502 11:17:59 4 Connected 11:17:59 4 GET /trafc/control_quotas.html HTTP/1.1 11:17:59 4 Accepted 11:17:59 4 Unauthorized session 11:17:59 4 Executing request: UNAUTHORIZED 11:17:59 4 HTTP/1.0 401 Unauthorized 11:17:59 4 Request completed: UNAUTHORIZED/401 401/885 text/html 11:17:59 4 STAT: 401:885:0:0:47 11:18:02 5 Connection from: 192.168.7.11:1503 11:18:02 5 Connected 11:18:02 5 GET /trafc/control_quotas.html HTTP/1.1 11:18:02 5 Accepted 11:18:02 5 Unauthorized session, tried as: 1@домен 11:18:02 5 Executing request: EXEC_CGI 11:18:02 5 Request completed: EXEC_CGI/401 428/1300 text/html 11:18:02 5 STAT: 428:1300:0:0:125 [/quote:9ead6693be]
    3. Попытка дополнительно прописать виртуальный каталог
  • ;;/trafc/;;;..\script\control\wwwroot.pigmail\trafc\;1;;;;
    Тоже доступа не открыла
    11:34:17 14
    Connection from: 192.168.7.11:1536 11:34:17 14 Connected 11:34:17 14 GET /trafc/control_quotas.html HTTP/1.1 11:34:17 14 Accepted 11:34:17 14 Unauthorized session 11:34:17 14 Access by ACL: ----- 11:34:17 14 ACL: FORBIDDEN 11:34:17 14 Executing request: FORBIDDEN 11:34:17 14 HTTP/1.0 403 Forbidden 11:34:17 14 Request completed: FORBIDDEN/403 235/645 text/html 11:34:17 14 STAT: 235:645:0:0:93 [/quote:9ead6693be]
    		• imported
    pig22.12.2008 13:52
    Для админского порта виртуальные каталоги свои, жёстко прошитые.
    Логи будут более интересны при шестом уровне.
    И в каком состоянии сейчас опция "Управление доступом" в разделе "Нестройки web-интерфейса"?
    		imported
    DAC24.12.2008 11:08
    В очередной раз огромное спасибо!
    Заработало.

    Если не сложно, в web-интерфейсе для asWeb пригодилась бы возможность перезапуска, поскольку для него нельзя сделать стоп-старт.
    		imported
    pig24.12.2008 11:20
    Да, хорошая мысль, спасибо.
    		imported
    Работает на Eserv/5.05567 (10.02.2020)