* Как защитить управление E4,

Новости

22.10.2009
Обсуждение E4 WebMail

12.10.2009
Обсуждение форума на базе E4

Levin

Обнаружил страшную штуку

!
У меня любой юзер через сетевое окружение с включенными значками UPnP может лихо войти и управлять настройками Е4

Как это запретить?

Автор

Дата

Текст

tags

25.06.2010 14:25

Это они у вас, проходя через прокси, получаются локальными (серверными) IP для управления. Надо либо в браузерах отключить работу через прокси с локальными адресами (это всегда желательно — зачем вам лишняя нагрузка на прокси), либо в правах доступа создать элемент ACL с ресурсом "/e4i/*", IP "192.168.*" (какой там у вас локальный диапазон?) и доступом 0 (убрать все галки). А потом такой же со своим IP или админской ролью с правами на чтение/запись.

wikipost

Levin

25.06.2010 15:07

У меня у юзеров IE6-8 стоит в настройках доступа галка "не использовать прокс-сервер для локальных адресов" — не помогает.
Второй совет сложнее в понимании после Е2. ресурс /e4i/ — управление Е4?
С ролями пока вообще непонятно — у меня только почтовые логины (транслируемые из Е2). + admin, который в Управление/администратор завелся при инсталяции Е4, видимо как администратор компьютера. Он вне проектов. Если я его засуну в свой единственный проект, то как ему роль то админскую присвоить — или есть где-то перечень ролей. Это очень непонятное место.
Могу ли я завести в проекте еще домен, соответствующий внутреннему Windows домену, внести туда своих доменных юзеров и управлять их доступом через прокси.
Вы извините, что я такой бестолковый и вопросы задаю элентарные, но задачи для меня абсолютно новые, а почитать негде.

wikipost

Levin

25.06.2010 15:10

И еще следом — среди юзеров обнаружил anonymous c паролем anonymous

Я его выключил — беды не будет?

wikipost

25.06.2010 16:39

Levin пишет: У меня у юзеров IE6-8 стоит в настройках доступа галка "не использовать прокс-сервер для локальных адресов" — не помогает.

Значит явно указать IP-адрес в списке исключений (там ниже под галкой есть "адресов, начинающихся с...").

Levin пишет: ресурс /e4i/ — управление Е4?

Да.

Не нужно админа в отдельный проект. Если это тот пользователь, пароль для которого у вас спрашивал Eserv при установке, то Eserv сам знает, что он администратор, пустит управлять в любом случае.

Levin пишет: anonymous c паролем anonymousЯ его выключил — беды не будет?

Если и будет, то у этого анонимуса, а не у Eserv'а.

wikipost

Levin

28.06.2010 09:47

ac пишет: админской ролью с правами на чтение/запись

а как мне ввести эту роль?
Вообще очень хочется ссылку — где был бы перечень ролей — как они обозначаются и перечень ресурсов. А уж если бы примеры были

!
Я просто очень боюсь по незнанию самому себе заблокировать доступ к управлени..

wikipost

matveeva

28.06.2010 09:53

Вот из темы про проблемы перехода с Е2:

ac пишет: роль — просто текстовая строка, которую можно назначать произвольно (и проверять в ACL как строку). Есть предопределенные роли в E4 — супервизор, администратор, модератор, вебмастер...

Роль — это не группа. Роль — это то, что человек в группе делает. Это отличие описывалось в http://www.eserv.ru/Eserv4WhatsNew . В принципе можно считать людей с одной ролью виртуальной группой, но в реальной жизни люди с одной ролью могут никогда не поработать в одной группе. Разве что "президенты встретились на саммите", "администраторы слетелись на слёт" — но это "группы по интересам", а не рабочие группы на предприятии.

Группа — это коллектив, собравшийся для выполнения какой-то задачи. А роли — это как они между собой разделили полномочия и ответственность. Т.е. группа людей объединяет, а роли — разъединяют

matveeva пишет: А, если я кому-нибудь прописываю роль, например "administrators", то эта запись не появляется в группе administrators. Это правильно?

Правильно, не появится. Но роль "administrators" — не правильно. "Будешь царями" — так не говорят. "Будешь царём."

Вообще там много интересного обсуждалось.

wikipost

Levin

28.06.2010 11:04

Вот из темы про проблемы перехода с Е2:
Я эту Вашу четырехмесячную сагу распечатал и держу за самый главный учебник

Я вообще, этак хитренько за Вашей спиной пристроился и меееленькими шагами двигаюсь вперед.
Со стандартными ролями понял — писать кирилицей и с маленькой буквы. Еще бы с ресурсами понять.

wikipost

Levin

28.06.2010 11:44

Создал списки ACL -

Файл:

описание файла 1 [233984 bytes]

И ничего не изменилось — юзеры читают настройки. Где наврал?

wikipost

matveeva

28.06.2010 12:10

Levin пишет: Я эту Вашу четырехмесячную сагу распечатал и держу за самый главный учебник

)))

Levin пишет: И ничего не изменилось

Может, без кавычек попробовать?

wikipost

Levin

28.06.2010 12:24

Я и начал с варианта без кавычек, а когда не прошло — добавил кавычки.

wikipost

matveeva

28.06.2010 14:23

ac пишет: "192.168.*"

А ac так написал маску. А у Вас 192.168.*.* Может так попробовать?

wikipost

28.06.2010 15:05

Виноват, ошибка в моей исходной рекомендации

ac пишет: создать элемент ACL с ресурсом "/e4i/*"

должно быть, конечно, "*/e4i/*", т.к. прокси при проверке ACL берет полный URL, вместе с хостом.

wikipost

Levin

28.06.2010 15:15

Попробовал. Не помогло

!

Самое непонятное, что я обпрыгал 5 юзеровских компьютеров и с локальными и с доменными пользователями — на трех входит без проблем, на двух требует пароля

! Не вижу логики.

При этом легко заработала строка, запрещающая работать через прокси из подсети.
Файл:

описание файла 1 [234496 bytes]

wikipost

Levin

29.06.2010 09:21

Предыдущее сообщение — ответ на совет Матвеевой. Совет AC'а я просто проморгал.
Сегодня вгляделся, выполнил и получил результат — на всех компьютерах, кроме хоста с Е4, ВКЛЮЧАЯ И МОЙ СОБСТВЕННЫЙ, отвечают: " Сайт заблокирован. Рубрика: "

Я унаследовал от Е2 три десятка учетных записей, относившихся там к почтовым ящикам и несовпадавших (по логин/пароль) с пользователями в локальной сети. Все они сейчас сидят в единственном проекте и в домене lenmetro.ru.
Дополнительно при инсталяции Е4 завелся пользователь admin (плюс несколько деактивированных гостей-анонимусов). Он не имеет проекта, но его домен — тоже lenmetro.ru. Вопросов пока два.

Как мне из локальной сети (а может и снаружи) управлять Е4.
Eproxy пока работает, как в простые времена Е2, только шустрее.

mailXX@lenmetro

wikipost

matveeva

29.06.2010 09:50

Levin пишет: Надо лишить ZZ выхода в интернет

А если этих юзеров наделить одинаковой ролью и написать для нее запрет?

wikipost

Levin

29.06.2010 09:58

matveeva пишет: этих юзеров

В этом то вся проблема (я видимо был слишком многословен), как обозначить ЭТИХ ЮЗЕРОВ т.е. любого юзера из локальной сети. Вводить их пользователями? В какой проект/домен. Я как admin потому и не могу управлять со своего компьютера, что на нем я admin в <лок.домен>, а Е4 меня за своего не считает.

wikipost

matveeva

29.06.2010 10:25

Levin пишет: Вводить их пользователями?

Что-то я не поняла... Разве не должны все юзеры присутствовать в пользователях домена в Е4?

wikipost

Levin

29.06.2010 10:58

Это то я и не понимаю. Пока присутствуют только юзеры — почтовые ящики — пользователи почтового домена. Как я понимаю их обрабатывает Eserv. А как объяснить Eproxy, что <лок.домен>\admin или admin@<лок.домен>, который лезет из локальной сети, этот тот самый admin, который был введен при инсталяции Е4 и автоматически получил роль администратор.

wikipost

matveeva

29.06.2010 11:51
ред: 29.06.2010 11:53

Levin пишет: А как объяснить Eproxy, что <лок.домен>\admin или admin@<лок.домен>, который лезет из локальной сети, этот тот самый admin,

Опять не понимаю... Любой пользователь лок. сети, когда идет к Е4 за почтой или интернетом. должен ему как-то представиться (по имени, по IP,...). Можно завести одного юзера в Е4. и всех запускать с его данными. А можно, и нужно, наверное, каждого завести отдельно. Чтобы предоставлять сервисы ему индивидуально. И следить за ним, и права назначать, и пр. Разве не так?

wikipost

Levin

29.06.2010 12:09

Вот я создал пользователя Bond и дал ему роль -администратор.

Файл:

описание файла 1 [157184 bytes]

и пытаюсь зайти на Е4. Вот кусочек лога HTTP:

2010-06-29 12:56:41; 192.168.1.68;422251;0;1;bond@lenmetro.ru;401;GET;248;UNAUTHORIZED;192.168.1.4;/e4i/frame.htm;_filename_exception_-1;application/octet-stream;"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)";"";bond;$$$$$$$$$$;248;0;0;285;;;0; и как это понимать?

wikipost

matveeva

29.06.2010 12:35
ред: 29.06.2010 12:40

А если Вы этому bond припишите IP-адрес 192.168.1.4, ничего не изменится?
Не, не так. 192.168.1.68 — вот такой.

wikipost

matveeva

29.06.2010 12:58

Я попробовала с другого компа подключиться к Е4, он у меня спросил имя-пароль. Хотя никаких "*/e4i/*" я не вводила.

wikipost

Levin

29.06.2010 13:23

matveeva пишет: Я попробовала с другого компа подключиться к Е4, он у меня спросил имя-пароль. Хотя никаких "*/e4i/*" я не вводила.

так было и у меня. Но я запретил это всем, а разрешил тем, у кого роль администратор.

wikipost

29.06.2010 13:50

Levin пишет: Вот я создал пользователя Bond и дал ему роль -администратор.

А если с этого же компьютера входить не Bond'ом, а с тем именем-паролем, который придумали для администратора на этапе установки — будет разница?

Levin пишет: Самое непонятное, что я обпрыгал 5 юзеровских компьютеров и с локальными и с доменными пользователями — на трех входит без проблем, на двух требует пароля ! Не вижу логики.

Входит в управление или в интернет? Если речь про управление, то входит без пароля видимо все-таки через прокси (по логу посмотреть — есть это обращение в прокси-сервере или только в веб-сервере).

wikipost

Levin

29.06.2010 14:18
ред: 29.06.2010 14:50

ac пишет: А если с этого же компьютера входить не Bond'ом, а с тем именем-паролем, который придумали для администратора на этапе установки — будет разница?

Нет. Вообще теперь (после замены ресурса на */e4i/*) можно войти в управление только с самого Е4. Такое впечатление, что роль администратор как-то не работает.

Вот кусочки из log\http\.. верхний удачный (c E4), нижний нет

2010-06-29 12:54:54; 192.168.1.4;418191;0;1;-;200;GET;6517;ZeSendFile;192.168.1.4;/e4i/lib/utils/sorttable.js;_filename_exception_-1;text/javascript; charset=windows-1251;"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)";"http://192.168.1.4:2009/e4i/frame.htm";;;6517;0;1;455;;;0;

2010-06-29 13:23:53; 192.168.1.68;461360;0;1;Admin@lenmetro.ru;401;GET;248;UNAUTHORIZED;192.168.1.4;/e4i/frame.htm;_filename_exception_-1;application/octet-stream;"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)";"";Admin$$$$$$$$$$$$;248;0;0;293;;;0;

а вот из log\HTTP-PROXY\

2010-06-29 13:37:39; 192.168.1.68;476559;0;0;0;- (0,0,/,_3(0)) ADV_BLOCK/200 208 GET http://192.168.1.4:2009/e4i/frame.htm DIRECT/ - 0 476559 476559 00-24-54-36-FF-72 unknown() 208;223;0;0 0;

2010-06-29 14:15:26; 192.168.1.4;499357;0;0;203;- (0,0,/,_1(255)_3(0)) TCP_CLIENT_REFRESH/200 6705 GET http://192.168.1.4:2009/e4i/frame.htm DIRECT/192.168.1.4 text/html 0 192.168.1.4 499357 499357 00-19-D1-2A-4C-12 unknown() 33029;2394;1940;32906 0;

wikipost

Levin

29.06.2010 15:15
ред: 29.06.2010 15:16

Только что обнаружили очень смешную штуку (точнее две смешные штуки):

В Mozilе все работает правильно — спрашивает логин/пароль, вводишь их (логин без всякого сайта) и она тебя допускает. С того же компьютера под тем же пользователем из IE (6 или, логин-пароль не просит а говорит: " Сайт заблокирован. Рубрика: " и тютю.
Сейчас ставим впервые Windows7 — пробую из тамошнего IE8 — он еще не настроен и про PROXY на 192.168.1.4 не знает — все прекрасно:спрашивает логин/пароль, вводишь их (логин без всякого сайта) и она тебя допускает.

wikipost

Levin

29.06.2010 15:29
ред: 29.06.2010 15:57

И еще — если в IE отменить настройки PROXY на 192.168.1.4 (или не отменять, а запретить входить на 192.168.1.4 через proxy) можно войти как admin, а как bond все равно нельзя.

wikipost

29.06.2010 20:02

По этим смешным штукам тоже желательно получить образцы логов — FF и IE, чтоб понять, в чем там на самом деле разница.

А что означает "логин без всякого сайта"? Имеется в виду логин без указания домена? Да, при аутентификации в E4 не требуется указание домена, когда для поиска учетной записи достаточно имени:пароля. Домен требуется, если у вас в разных доменах есть учетные записи с одними и теми же паролями (тогда он при авторизации возьмёт первую совпавшую по имени:паролю или имени:паролю:текущему_домену (для HTTP), которая возможно не та, которая требовалась — вот тогда надо перелогиниться с доменом).

wikipost

Levin

30.06.2010 10:40

ac пишет: Имеется в виду логин без указания домена?

Да.

Вот лог из Http я вначале пытался аутентифицироваться как Bond — неудачно, следом как Admin — удачно.

2010-06-30 11:01:06; 192.168.1.82;14199;0;1;bond@lenmetro.ru;401;GET;248;UNAUTHORIZED;192.168.1.4;/e4i/frame.htm;_filename_exception_-1;application/octet-stream;"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; InfoPath.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)";"";bond;$$$$$$$$;16533;15;0;971;;;0; 2010-06-30 11:01:12; 192.168.1.4;14405;0;1;-;200;GET;1912;ZE4A;192.168.1.4;/e4a/upnproot.e;apps/e4a/upnproot.e;text/xml;"Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.24 Version/10.54";"";;;1912;0;1;429;;;0; 2010-06-30 11:01:12; 192.168.1.4;14406;0;1;-;200;GET;1912;ZE4A;192.168.1.4;/e4a/upnproot.e;apps/e4a/upnproot.e;text/xml;"Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.24 Version/10.54";"";;;119500;16;1;429;;;0; 2010-06-30 11:01:22; 192.168.1.4;14652;0;1;-;200;GET;1912;ZE4A;192.168.1.4;/e4a/upnproot.e;apps/e4a/upnproot.e;text/xml;"Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.24 Version/10.54";"";;;1912;0;1;429;;;0; 2010-06-30 11:01:22; 192.168.1.4;14653;0;1;-;200;GET;1912;ZE4A;192.168.1.4;/e4a/upnproot.e;apps/e4a/upnproot.e;text/xml;"Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.24 Version/10.54";"";;;119500;16;1;429;;;0; 2010-06-30 11:01:25; 192.168.1.82;14665;0;1;admin@lenmetro.ru;200;GET;2014;ZSendFile;192.168.1.4;/e4i/frame.htm;_filename_exception_-1;text/html;"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; InfoPath.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)";"";$$$$$$$$$$$$;2014;0;1;979;;;0; 2010-06-30 11:01:25; 192.168.1.82;14665;0;2;admin@lenmetro.ru;200;GET;906;ZSendFile;192.168.1.4;/e4i/styles/xtree2.css;_filename_exception_-1;text/css;"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; InfoPath.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)";"http://192.168.1.4:2009/e4i/frame.htm";admin;$$$$$$$$$$$$;906;0;1;1750;;;0;

а это учетная запись Bond и права доступа для администратора.
Файл:

описание файла 1 [438272 bytes]

wikipost

Levin

30.06.2010 13:48

Такое впечатление, что роли вообще не играют роли

Я добавил пользователя LMGT_User с ролью NOINTER и элемент ACL

Файл:

описание файла 1 [499712 bytes]

надеялся, что пользователь, который залогинился как LMGT_User в интернет не пойдет. А он этого и не заметил. Пробовал вставлять и удалят IP пользователя и элемента ACL — не влияет.

Вообще есть ли какая-либо кореляция между именем пользователя при логине на юзеровском компьютере и EProxy?

wikipost

30.06.2010 15:05

Levin пишет: Вообще есть ли какая-либо кореляция между именем пользователя при логине на юзеровском компьютере и EProxy?

Если в прокси используете NTLM-авторизацию (в управлении — "Прокси/Способ авторизации") и включен "Пароль на доступ к HTTP-прокси", то есть — IE будет передавать прокси информацию об NT-пользователе, с правами которого он (IE) работает на пользовательском компьютере. При Basic-авторизации имя и пароль к прокси будут запрашиваться браузером явно, и воодить надо будет те имена-пароли, которые заведены в Eserv, а не в NT.

Levin пишет: надеялся, что пользователь, который залогинился как LMGT_User в интернет не пойдет.

В логе прокси посмотрите, была ли авторизация вообще — там в круглых скобках основная информация об авторизации в формате ({NTLM_UID},{ESERV_UID},{GROUP}/{ROLE},{AclReply}).

wikipost

Levin

30.06.2010 15:36

ac пишет: Если в прокси используете NTLM-авторизацию (в управлении — "Прокси/Способ авторизации") и включен "Пароль на доступ к HTTP-прокси", то есть — IE будет передавать прокси информацию об NT-пользователе, с правами которого он (IE) работает на пользовательском компьютере. При Basic-авторизации имя и пароль к прокси будут запрашиваться браузером явно, и воодить надо будет те имена-пароли, которые заведены в Eserv, а не в NT.

Вот наконец я близок к пониманию

У меня авторизация basic/NTLM (встала сама по умолчанию). Я включил Пароль на доступ к HTTP-прокси — стала просить пароль при первом заходе в IE и, при правильном логин-пароле, входит на всех, даже на том, который с ролью NOINTERN.
C логами и прочим — на завтра, тут другие проблемы навалились.

Лишь один маленький вопросик: Эти все механизмы работают для NT-пользователей, а если пользователь залогинился на компьютере, как локальный, но с тем же логином/паролем?

wikipost

30.06.2010 20:39

При NTLM-авторизации (хоть после локального входа, хоть через AD-) пользовательский пароль на прокси не передается, т.е. Eserv'у не видно, что пароль тот же самый. Он в случае basic/NTLM или NTLM/basic просит сразу ту и другую аутентификацию, и проверяет то, что прислал в ответ браузер (basic- по своей базе, NTLM — виндовыми средствами), берет любую удавшуюся.

wikipost

Levin

01.07.2010 10:06
ред: 01.07.2010 10:08

Т.е. Попробую просуммировать то, что сумел понять.

Пароль на досуп отключен — независимо от метода авторизации через прокси идут все

Пароль включен.

basic авторизация — прокси явно запрашивает логин/пароль и сравнивает с базой Е4.

NTLM авторизация — прокси явно запрашивает логин/пароль и сравнивает с локальным доменом.

basic/NTLM или NTLM\basic — прокси явно запрашивает логин/пароль, сравнивает с обеими базами и достаточно совпасть на одном из них.
Неясно в чем разница между этими методами?

Правильно ли я понял?

Можно ли как-то запретить интернет пользователям по именам при отключенном пароле?

wikipost

pig

01.07.2010 11:35

Levin пишет: Можно ли как-то запретить интернет пользователям по именам при отключенном пароле?

Каким образом? Прокси в таком режиме не может узнать имя, потому что ему не велено спрашивать, а браузер по собственному почину не сообщает.

wikipost

Levin

01.07.2010 11:51
ред: 01.07.2010 11:52

pig пишет: Прокси в таком режиме не может узнать имя, потому что ему не велено спрашивать, а браузер по собственному почину не сообщает.

Ясно.
А с включенным паролем. Правильно ли я все понял и в чем разница между basic\NTLM и NTLM\Basic?

wikipost

01.07.2010 13:02

Разница между ними в том, в каком порядке в ответах прокси перечисляются эти методы аутентификации. "NTLM/Basic" означает "хотелось бы получить NTLM, но если не умеешь, то пойдёт и basic". Браузеры и прочий клиентский софт выбирают по собственному усмотрению/возможности/умению.

Levin пишет: basic/NTLM или NTLM\basic — прокси явно запрашивает логин/пароль, сравнивает с обеими базами и достаточно совпасть на одном из них.

Только это не значит, что браузер передает сразу два вида credentials. Он передает один (тот, который выбрал из предложенного списка — NTLM или Basic), т.е. прокси в одном запросе при проверке будет иметь дело только с одним списком (NT или E4), но если первый способ не удался, то браузер попробует (или лучше сказать "может попробовать") использовать другой. И тот способ, который удался, он (браузер) запомнит, и будет использовать в следующих запросах этой рабочей сессии.

Какой способ авторизации сработал в таком гибридном случае — можно посмотреть по логу. Если IE не спрашивал пароль (при том, что в прокси указано спрашивать пароль) — значит, даже не глядя в лог, можно сказать, что сработала прозрачная NTLM-авторизация (Opera и Firefox спрашивают пароль и при NTLM).

wikipost

Levin

01.07.2010 13:36

Cпасибо. Буду думать и пробовать.

wikipost

06.07.2010 04:40

В сегодняшнем обновлении (поехало уже в раздачу) над основной частью поставленных здесь вопросов думать уже не надо — настроено по умолчанию, см.

http://code.eserv.ru/06.07.2010

wikipost

Eserv Forum / E4 / Eserv 4 beta / Как защитить управление E4,