Регистрация...

Eserv Forum / E4 / Eserv 4 beta / Управление доступом через прокси?

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Добрый день. Проплатил ключик для EProxy, пришло через апдейты, работает. Доступ даёт... всем даёт. А мне не нужно всем — мне надо доступ для определённых пользователей или с определённых компов — и на строго определённые сайты. В Е3 были белые-чёрные списки, тут ничего такого не нахожу.

Есть две группы — proxy access local nt и nt domain, туда "затянуло" всех пользователей и все хосты из AD — а вот что с ними делать дальше?
 
Комментарии к этой версии (23.03.2010 17:33) [~shajtan] 1e8c01a7
АвторДатаТекстtags
ac24.03.2010 11:08
По правам доступа к URL'ам — см. http://code.eserv.ru/24.03.2010 , там в разделе "Права доступа" небольшое описание есть. Постараюсь завтра более подробное на сайте вывесить. И на днях будет обновление, позволяющее работать с рубрикатором сайтов (четырьмя внешними), вчера добавлена поддержка, сейчас тестируется.

NTLM-авторизацию включить добавлением в E4.ini
[PROXY]
HttpRequireAuth=1
(в следующем обновлении — завтра — будет ключик в интерфейсе для этой опции).

Или IP-авторизацию включить, указав в учетных записях привязку к IP или MAC.

При NTLM-авторизации не устанавливаются проект/группа и роль пользователя, поэтому соответствующие поля в ACL тестировать в этом случае бессмысленно. Можно явно сравнивать в поле "Правило" LoggedAs: nt_login@nt_domain.

Про "хосты из AD" не понял, вроде ничего такого инсталлятор не вытягивает.
wikipost
ac24.03.2010 11:28
Наверное сразу требуется пояснение, как сделать конкретно "доступ для определённых пользователей или с определённых компов — и на строго определённые сайты".

Если это условие означает и "а на все остальные сайты их пускать не надо", то можно сделать так. В таблицу прав доступа добавить два элемента ACL:

Ресурс: http://строго_определенный_сайт/* IP: определенный_комп Полномочия: галки "чтение", "запись" и "листание"


Ресурс: * IP: определенный_комп Полномочия: все галки убрать


Очередность добавления не важна, т.к. права суммируются (как в E2), а не "до первого совпавшего" (как в E3).
wikipost
ac24.03.2010 11:30
Вместо IP: определенный_комп можно указать маску IP или IP: файл-список_с_определенными_компами, где файл-список — текстовый файл в формате E3, где в первом поле IP или маски IP.
wikipost
shajtan13.04.2010 20:00
Ещё косяк с управлением доступом — правило ACL могу добавить, но никак не могу удалить. Есть справа кнопочка "меню операций со списком контроля доступа", но она неактивна.
wikipost
shajtan13.04.2010 20:33
Да, и ещё — не могу не покритиковать алгоритм ACL с суммированием правил... Сразу напрашивается — что будет, если одним правилом я разрешаю доступ какого-то объекта ко всем хостам, следующим правилом запрещаю доступ всех объектов к какому-то хосту, а затем попробую этим "всесокрушающим ядром" (пользователем, которому можно всё) зазвездюлить по "несокрушаемой стене" (хосту, на который нельзя никому)?
wikipost
ac13.04.2010 23:35
shajtan пишет: правило ACL могу добавить, но никак не могу удалить.

Когда выбираете в центральном списке элемент ACL, в окне справа появляются подробности этого элемента, а справа узкая вертикальная панель инструментов, в которой есть иконка "крестик". Вот она для удаления этого элемента.

shajtan пишет: что будет, если одним правилом я разрешаю доступ какого-то объекта ко всем хостам, а затем попробую этим пользователем, которому можно всё зазвездюлить по хосту, на который нельзя никому?

Если вы какому-то субъекту даёте в ACL доступ ко всему, то отнять у него доступ другими ACL'ами уже нельзя (на самом деле можно, но неочевидными манипуляциями в поле "Правило"). Но на самом деле доступ ко всему добавлять явными ACL и не требуется, т.к. все пользователи прокси (все локальные, либо все авторизованные, если того требует галочка "Пароль на доступ" в настройке прокси) и так по умолчанию имеют доступ ко всему. И вот основное назначение ACL отнимать часть этого "умолчательного доступа". Т.е. если у вас есть задача "дать доступ ко всему кроме каких-то конкретных хостов" (я так понимаю ваше описание про "несокрушимую стену"), то не надо добавлять три элемента ACL — добавьте только один элемент, в котором и будет эта "стена".

Если наоборот пользователю нужно дать доступ только к заданному набору URL'ов, а ко всем остальным запретить, то добавьте два элемента ACL — один будет запрещать этому пользователю всё, а второй разрешать конкретные URL. Тогда при попытке доступа на этот конкретный URL права логически просуммируются (по "OR"), и доступ будет разрешен (0|1 =1). А при при попытке доступа на любой другой URL будет срабатывать только запрещающий элемент.
wikipost
shajtan14.04.2010 09:23
ac пишет: справа узкая вертикальная панель инструментов, в которой есть иконка "крестик". Вот она для удаления этого элемента.


Всё, разобрался. Да, моя вина — не мог выбрать элемент... дело в том, что элемент ACL в таблице именуется так-же, как и ресурс — а я задал на ресурс маску *, и не докумекал, что нужно ровно по звёздочке попасть.
Кстати, возможно удобнее было-бы сделать активным элементом в таблице не содержимое, а целиком ячейку.

За разъяснение про ACL спасибо, теперь понятно. Ещё один вопрос про файл-список для IP: в каком виде задавать путь к нему, и есть-ли возможность использовать такой файл-список и для указания ресурсов?
wikipost
shajtan14.04.2010 19:31
ред: 14.04.2010 19:32
Ещё вопрос. Создал проект proxy, в нём завёл пользователя с идентификацией по IP (то есть доступ только с определённой машины), дал ему роль unlimited. В ACL — сначала запретил всё (политика доступа будет такова, что доступ всё-таки придётся не закрывать для избранных, а открывать для них — для остальных по умолчанию всё будет закрыто), затем начинаю разрешать для этой машины. Вот тут и начинается интересное: если я делаю ACL с разрешением доступа для всех, у кого роль unlimited, то всё проходит. Если я добавляю в ACL проект — proxy — то идёт запрет. Строка из лога выглядит так:

2010-04-14 20:31:58; 172.16.11.7;421;0;0;0;d4-monaco@ххх.ru (0,436,proxy/unlimited) ADV_BLOCK/200 164 GET http://rambler.ru/favicon.ico


видно, что опознал и роль, и проект. Почему же не пускает? Если убираю в ACL проект, оставляя только роль — то всё работает:
2010-04-14 20:33:23; 172.16.11.7;424;0;0;266;d4-monaco@ххх.ru (0,436,proxy/unlimited) TCP_MISS/302 194 GET http://clck.yandex.ru
wikipost
ac18.04.2010 09:07
shajtan пишет: видно, что опознал и роль, и проект. Почему же не пускает?

Нашел сегодня ошибку — вместо проекта/группы пользователя проверялся проект сайта — в ближайшем обновлении поедет исправление.
wikipost
Работает на Eserv/5.05555 (05.06.2016)