Регистрация...

Eserv Forum / E4 / Proxy / Авторизация винды через прокси

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
У нас установлен пароль на доступ к HTTP (способ авторизации — basic). Необходимо авторизовать легальный WIN7 — при этом он должен выйти в интернет, а спросить логин-пароль не умеет. Сами мелкософты пишут:

Способ 1. Не используйте обычную проверку подлинности
Откажитесь от использования обычной проверки подлинности на прокси-сервере. Однако если обычную проверку подлинности использовать необходимо, добавьте URL-адреса списков отзыва сертификатов (CRL) в список исключений проверки подлинности. Для этого включите следующие списки CRL в перечень не подлежащих проверке подлинности при использовании прокси-сервера:
http://go.microsoft.com/*
https://sls.microsoft.com/*
https://sls.microsoft.com:443
http://crl.microsoft.com/pki/crl/products/MicrosoftRootAuthority.crl
http://crl.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunications.crl
http://www.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunications.crl
http://crl.microsoft.com/pki/crl/products/MicrosoftProductSecureServer.crl
http://www.microsoft.com/pki/crl/products/MicrosoftProductSecureServer.crl

Это преодолимо?
 
Комментарии к этой версии (15.09.2010 11:12) [~Levin] b6c713a4
АвторДатаТекстtags
pig15.09.2010 11:53
Я это преодолевал самым лобовым способом — занёс все специфические URL в белый список, разрешив ходить туда без авторизации. Как мелкософты и советуют. Всё равно человекам там делать нечего.
wikipost
Levin15.09.2010 12:07
А как добраться до белого списка и как разрешить ходить туда без авторизации?
wikipost
matveeva15.09.2010 13:11
ред: 15.09.2010 13:12
Это в правах доступа.
Указать там имя файла, в который складывать построчно имена сайтов. И поставить права 255 без указания ролей. Вроде, так.
wikipost
Levin15.09.2010 13:51
Не получается
Я даже закатал все эти http построчно в права доступа. Дал каждому права 255, а прочие поля пустые. Не проходит, хоть тресни.
Может в пароль надо чегой-то вставить?
wikipost
matveeva15.09.2010 14:26
ред: 15.09.2010 14:30
У меня стоит, например, ресурс
../BannerBlackList.txt
с нулевыми полномочиями, и в папке Е4 лежит файлик BannerBlackList.txt с адресами типа:
http://62.16.103.37/bnrot/br.asp* http://62.26.220.2*/server/rich.asp* http://62.27.57.2*
Хм. Это обратный пример. Когда никому нельзя. 255 — всем можно.
Но! У меня нет пароля на доступ. Может, все дело в этом?
wikipost
Levin15.09.2010 14:32
matveeva пишет: Но! У меня нет пароля на доступ. Может, все дело в этом?


Боюсь, что в этом-то все дело Как я понял при basic-авторизации пароль спрашивается при обращении к прокси
wikipost
Levin15.09.2010 14:35
pig пишет: разрешив ходить туда без авторизации. Как мелкософты и советуют.
А как это сделать
wikipost
matveeva15.09.2010 14:50
Levin пишет: при basic-авторизации пароль спрашивается при обращении к прокси
у меня авторизация стоит basic, а "пароль на доступ" — стоит "нет". Не спрашивает.
wikipost
ili_a15.09.2010 15:01
ред: 15.09.2010 15:02
Попробуйте в ресурсе ставим имя файла или отдельный URL
IP = *
Права — все, или те что надо.
У меня сработало, пароль не спросила (проверял на forum.eserv.ru)
wikipost
Levin15.09.2010 15:03
matveeva пишет: у меня авторизация стоит basic, а "пароль на доступ" — стоит "нет". Не спрашивает.

А у меня стоит "Да" т.к. необходимо пускать в интернет только избранных (не всех пользователей локального домена).
wikipost
ili_a15.09.2010 15:06
ili_a пишет: Попробуйте в ресурсе ставим имя файла или отдельный URL
IP = *
Права — все, или те что надо.
У меня сработало, пароль не спросила (проверял на forum.eserv.ru)

Извините, обманул, не работает... Был открыт параллельно еще один IE
wikipost
ac15.09.2010 15:08
Да, белый список для неавторизованных — недодуман в конфиге. Вот изменение в acWEB\conf\OnStartup.rules.txt после S" PROXY[HttpRequireAuth]" EVALUATE >FLAG:

UID @ 0= IF S" PROXY[HttpRequireAuth]" EVALUATE >FLAG IF URL EvalACL IF arR AND 0= \ URL есть в ACL, и права чтения его нет ELSE DROP TRUE THEN \ URL нет в ACL IF S" ProxyUnauthorized PROXY" EVALUATE THEN THEN ELSE SelectTPlan \ переустановить тар.план, если была авторизация THEN
wikipost
Levin15.09.2010 15:12
ili_a пишет: Попробуйте в ресурсе ставим имя файла или отдельный URL
IP = *
Права — все, или те что надо.
У меня сработало, пароль не спросила (проверял на forum.eserv.ru)

Не сработало
wikipost
Levin15.09.2010 15:32

Файл: описание файла 1 [21111 bytes]

После замены файла — acWeb перестал загружаться. Выше этот файл — неправленный. Подправьте, пожалуйста и перешлите мне.
wikipost
ac15.09.2010 18:27wikipost
ac15.09.2010 18:29
Отправлял этот diff (ниже) сразу после поста 15.09.2010 16:08, но в этот момент вырубили электричество.
***** старый IF S" PROXY[HttpRequireAuth]" EVALUATE >FLAG IF S" ProxyUnauthorized PROXY" EVALUATE THEN ELSE ***** новый IF S" PROXY[HttpRequireAuth]" EVALUATE >FLAG IF URL EvalACL IF arR AND 0= \ URL есть в ACL, и права чтения его нет ELSE DROP TRUE THEN \ URL нет в ACL IF S" ProxyUnauthorized PROXY" EVALUATE THEN THEN ELSE *****
wikipost
Levin16.09.2010 09:12
ред: 16.09.2010 11:17
Заменил по варианту от 19:29 — файл прилагаю -

Файл: описание файла 1 [7017 bytes]

результат был кошмарный — всех перестало пускать в интернет Меня едва не убили Срочно вернул старый файл, хочется получить целый новый — вдруг я что-то где-то нетак и из-за этого все получается, как всегда : )[
А может я не понял и после замены файла надо перед перезагрузкой сам acWeb как-то перетранслировать?
wikipost
ac16.09.2010 13:01
Ничего перетранслировать не надо. Файл по ссылке 19:27 выше ( http://www.eserv.ru/download/acWEB_conf_OnStartup_rules_txt.zip )
wikipost
Levin16.09.2010 13:10
Так это мой старый файл Тот, что я Вам посылал, неправленный.
wikipost
ac16.09.2010 13:16
Если что-то с новым файлом не работает, то давайте смотреть в DATA\log\HTTP-PROXY\2010-09-16-log.txt.

Изменение это меняет логику авторизации совсем незначительно: если URL есть в списке в "Правах доступа", если право его чтения включено и если не указаны никакие роли и т.д. (т.е. заполнено только поле ресурса и галочка в правах), то пароль на доступ через прокси к этому ресурсу не запрашивается, сразу качает. Всё остальное работает как работало раньше. Проверено.
wikipost
ac16.09.2010 13:18
Ни с одним из ваших файлов этот не совпадает (сравните с помощью fc.exe), хотя с вашим последним файлом почти совпадает — отличия только в добавленных вами закомментированных строках, т.е. должно работать с равным успехом.
wikipost
Levin16.09.2010 13:42
Вот этот лог:

2010-09-16 14:33:15; 192.168.1.61;14872;0;0;0;- (0,0,/,) TCP_DENIED/407 112 GET http://go.microsoft.com/fwlink/?LinkId=69157 DIRECT/ - 0 14872 14872 00-1C-C0-FE-18-AB unknown() 112;826;0;0 0;;(192.168.1.61,1902) Что до файла то его длина не изменилась (21111) и дата 13.09?
wikipost
ac16.09.2010 13:49
Ой, извините!, дата конечно не 13. Правильная ссылка http://www.eserv.ru/download/OnStartup_rules_txt_2010-09-15_1.rar
wikipost
Levin16.09.2010 14:05
И опять не прошло. Вот лог:

2010-09-16 15:02:20; 192.168.1.61;4827;0;0;0;- (0,0,/,) TCP_DENIED/407 112 GET http://go.microsoft.com/fwlink/?LinkId=69157 DIRECT/ - 0 4827 4827 00-1C-C0-FE-18-AB unknown() 112;826;0;0 0;;(192.168.1.61,2126) 2010-09-16 15:02:20; 192.168.3.86
wikipost
ac16.09.2010 14:23
А авторизованных допускает в интернет, как и раньше, так? Этот ресурс http://go.microsoft.com/* добавьте в "Пользователи/Права доступа", поставьте галочку, разрешающую чтение.
wikipost
Levin16.09.2010 14:29
ac пишет: А авторизованных допускает в интернет, как и раньше, так?

Точно так. И ресурс стоит — см. ниже

Файл: описание файла 1 [191488 bytes]
wikipost
ac16.09.2010 14:53
Ресурс не тот, звёздочку в конце забыли. (В отличие от E2, она там не подразумевается по умолчанию).
wikipost
Levin16.09.2010 14:59
Звездочка есть — посмотрите в правой части картинки. Я специально поставил курсор на эту строку. Просто в таблице ресурсов для длинных текстов печатается только начало! Все строки ниже http://go.microsoft.com/* еще длинней.
wikipost
Levin16.09.2010 16:09
А еще я добавил в качестве ресурса имя файла (текстового) с этими мелкософтами — и опять не прошло!
wikipost
ac16.09.2010 16:21
Вот у меня лог до добавления http://go.microsoft.com/*:

2010-09-16 16:16:19; 192.168.0.33;684;0;0;15;- (0,0,/,) TCP_DENIED/407 112 GET http://go.microsoft.com/fwlink/?LinkId=69157 DIRECT/ - 0 684 684 00-19-66-54-74-33 unknown() 7466;53466;0;0 0;;

  • не пускает.
Добавил http://go.microsoft.com/*, захожу снова:

2010-09-16 16:17:03; 192.168.0.33;687;0;0;656;- (0,0,/,_150(4)) TCP_MISS/302 497 GET http://go.microsoft.com/fwlink/?LinkId=69157 DIRECT/64.4.11.160 text/html; 0 109.237.1.49 687 687 00-19-66-54-74-33 unknown() 757;1222;1178;719 0;;

  • нормально без логина отрабатывает. В скобках там 150 — это номер правила в ACL, 4 — назначенные права.
wikipost
ac16.09.2010 16:22
Может не перезапускали после замены файла?
wikipost
Levin17.09.2010 08:37
Перезагружал все и сейчас снова повторил перезагрузку всех служб.
Не проходит.

В файле ниже лог, текст файла c:\e4\whitelist.txt, куда я занес все эти ресурсы и снимок экрана с ресурсами. Может неправильное обращение к файлу или в его тексте надо что-то еще? Но мораль — механизм не работает ни при прямом вводе в окне права доступа ни при вводе ресурсов через файл.

Файл: описание файла 1 [159232 bytes]
wikipost
ac17.09.2010 12:43
У меня работает и с файлами. ОК, сейчас попробую запустить на списке ACL в варианте 1:1 к вашему. Если заработает, то придётся сделать для вас специальную отладочную версию и отправить для получения детального лога.
wikipost
ac17.09.2010 12:54
Работает и с вашим набором правил.
2010-09-17 12:51:09; 192.168.0.33;103;0;0;875;- (0,0,/,_5(255)) TCP_MISS/302 497 GET http://go.microsoft.com/fwlink/?LinkId=69157 DIRECT/64.4.11.160 text/html; 0 109.237.1.49 103 103 00-19-66-54-74-33 unknown() 577;932;898;548 0;

В общем, собираю отладочную версию.
wikipost
ac17.09.2010 15:01
http://www.eserv.ru/download/acWEB_2010-09-17_1.rar — замена трёх файлов. Точнее, OnStartup там прежний (с позавчерашними изменениями), но включен на всякий случай.

После перезапуска можно будет отслеживать срабатывание ACL по логу DATA\log\stat\201009acl.txt. Например:
2010-09-17 14:50:25;192.168.0.33;HTTP-PROXY;;;0;;http://go.microsoft.com/fwlink/?LinkId=69157;_150(4);1;4

Последние три поля — "_сработавшие_правила(сумма_прав);флаг_url_есть_в_списке_acl;права"
wikipost
Levin17.09.2010 15:17
Одни нули?!

2010-09-17 16:12:43;192.168.1.61;HTTP-PROXY;;;0;;http://go.microsoft.com/fwlink/?LinkID=88338;;0;0 2010-09-17 16:12:43;192.168.1.61;HTTP-PROXY;;;0;;http://go.microsoft.com/fwlink/?LinkID=88338;;0;0
wikipost
Levin17.09.2010 15:36
Такие записи возникли при ЗАПРОСЕ ПАРОЛЯ и отказе в ответе.
Отличаются от прочих — отсутствием логина и домена.
wikipost
ac17.09.2010 16:17
Нули — значит прокси не находит элементов ACL, подходящих под URL. Т.е. почему-то не срабатывает у вас запись http://go.microsoft.com/*. Непонятно... Вышлите, пожалуйста, ваш CONF\lists\directory.db3 на support@eserv.ru (архивом).
wikipost
ac17.09.2010 16:22
Если у вас эти маски собраны в файл, а из списка убраны, то учтите, что первая строка в файле игнорируется (считается, что там имена полей).
wikipost
Levin17.09.2010 21:12
В файле первая строка непустая, но в списке все осталось, только добавилась строка с именем файла. Файл смогу выслать только в понедельник. Я пробовал и другие строки из списка — тоже не проходит.
wikipost
Levin20.09.2010 09:12
В файле вставил первую пустую строку — не помогло. Файл отправил.
wikipost
ac20.09.2010 13:01
Файл в архиве датирован 26 июля — наверняка не тот, который вы редактируете и используете на сервере.
wikipost
Levin20.09.2010 13:24
Какая-то накладка вышла. Отправил свежайший.
wikipost
ac20.09.2010 15:04
Получил. Причина несрабатывания правил ACL оказалась тривиальной — в поле IP-адреса стоит пробел. Соответственно при сравнении ACL поле считалось непустым, IP клиента сравнивалось с пробелом и не совпадало. Не первый раз наступаю на эти грабли — не учитываю такие варианты входных данных. Исправление: http://www.eserv.ru/download/acWEB_2010-09-20_1.rar (теперь пробелы в значениях полей отрезаются). Спасибо за помощь в тестировании!
wikipost
Levin20.09.2010 15:37
Не получилось. Точнее получилось не полностью.

2010-09-20 16:31:17;192.168.1.61;HTTP-PROXY;;;0;;http://go.microsoft.com/fwlink/?LinkID=88338;_8(255)_16(255);2;255 2010-09-20 16:31:17;192.168.1.217;HTTP-PROXY;Water;lenmetro.ru;68;;http://sputnikmaps.mail.ru/informer/informer.aspx?geocode=1301;;0;0 2010-09-20 16:31:17;192.168.1.61;HTTP-PROXY;;;0;;activation.sls.microsoft.com:443;;0;0 2010-09-20 16:31:17;192.168.1.61;HTTP-PROXY;;;0;;activation.sls.microsoft.com:443;;0;0 Какие -то проблемы с HTTPS или ей не нравится 443 порт? Я пытался вставить в список прямо activation.sls.microsoft.com:443 или *.sls.microsoft.com:443 - не пропускает.
wikipost
ac20.09.2010 17:02
Укажите просто *sls.microsoft.com*.
wikipost
Levin21.09.2010 08:21
Сделал. Не проходит.

2010-09-21 09:13:23;192.168.1.61;HTTP-PROXY;;;0;;activation.sls.microsoft.com:443;;0;0 Файл: ((http://forum.eserv.ru/~Levin/files/Doc5.doc описание файла 1)) [154112 bytes]
wikipost
ac21.09.2010 14:05
Не https://*sls.microsoft.com*, а просто *sls.microsoft.com*.
wikipost
Levin21.09.2010 14:15
Получилось Спасибо
Однако, было бы очень полезно перекачать содержательную часть если не в документацию, то в FAQ. Форум уже очень велик и крупицы информации в нем тонут в ненужных деталях. Я, например, про пустую строку в файле с ресурсами когда-то читал, но т.к. при этом искал что-то другое — тут же забыл.
wikipost
Работает на Eserv/5.05555 (05.06.2016)