Добрый день. Проплатил ключик для EProxy, пришло через апдейты, работает. Доступ даёт... всем даёт. А мне не нужно всем — мне надо доступ для определённых пользователей или с определённых компов — и на строго определённые сайты. В Е3 были белые-чёрные списки, тут ничего такого не нахожу.
Есть две группы — proxy access local nt и nt domain, туда "затянуло" всех пользователей и все хосты из AD — а вот что с ними делать дальше?
NTLM-авторизацию включить добавлением в E4.ini
[PROXY]
HttpRequireAuth=1
(в следующем обновлении — завтра — будет ключик в интерфейсе для этой опции).
Или IP-авторизацию включить, указав в учетных записях привязку к IP или MAC.
При NTLM-авторизации не устанавливаются проект/группа и роль пользователя, поэтому соответствующие поля в ACL тестировать в этом случае бессмысленно. Можно явно сравнивать в поле "Правило" LoggedAs: nt_login@nt_domain.
Про "хосты из AD" не понял, вроде ничего такого инсталлятор не вытягивает.
Если это условие означает и "а на все остальные сайты их пускать не надо", то можно сделать так. В таблицу прав доступа добавить два элемента ACL:
Очередность добавления не важна, т.к. права суммируются (как в E2), а не "до первого совпавшего" (как в E3).
Когда выбираете в центральном списке элемент ACL, в окне справа появляются подробности этого элемента, а справа узкая вертикальная панель инструментов, в которой есть иконка "крестик". Вот она для удаления этого элемента.
Если вы какому-то субъекту даёте в ACL доступ ко всему, то отнять у него доступ другими ACL'ами уже нельзя (на самом деле можно, но неочевидными манипуляциями в поле "Правило"). Но на самом деле доступ ко всему добавлять явными ACL и не требуется, т.к. все пользователи прокси (все локальные, либо все авторизованные, если того требует галочка "Пароль на доступ" в настройке прокси) и так по умолчанию имеют доступ ко всему. И вот основное назначение ACL отнимать часть этого "умолчательного доступа". Т.е. если у вас есть задача "дать доступ ко всему кроме каких-то конкретных хостов" (я так понимаю ваше описание про "несокрушимую стену"), то не надо добавлять три элемента ACL — добавьте только один элемент, в котором и будет эта "стена".
Если наоборот пользователю нужно дать доступ только к заданному набору URL'ов, а ко всем остальным запретить, то добавьте два элемента ACL — один будет запрещать этому пользователю всё, а второй разрешать конкретные URL. Тогда при попытке доступа на этот конкретный URL права логически просуммируются (по "OR"), и доступ будет разрешен (0|1 =1). А при при попытке доступа на любой другой URL будет срабатывать только запрещающий элемент.
Всё, разобрался. Да, моя вина — не мог выбрать элемент... дело в том, что элемент ACL в таблице именуется так-же, как и ресурс — а я задал на ресурс маску *, и не докумекал, что нужно ровно по звёздочке попасть.
Кстати, возможно удобнее было-бы сделать активным элементом в таблице не содержимое, а целиком ячейку.
За разъяснение про ACL спасибо, теперь понятно. Ещё один вопрос про файл-список для IP: в каком виде задавать путь к нему, и есть-ли возможность использовать такой файл-список и для указания ресурсов?
ред: 14.04.2010 19:32
видно, что опознал и роль, и проект. Почему же не пускает? Если убираю в ACL проект, оставляя только роль — то всё работает:
Нашел сегодня ошибку — вместо проекта/группы пользователя проверялся проект сайта