Регистрация...

Eserv Forum / E4 / Proxy / Плодятся учетки NT-imported

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
При смене доменного пароля происходит дублирование учетных записей пользователя

Последовательность действий:
  1. Авторизуемся на прокси еще не зарегистрированной учеткой, в результате в acWeb.log
    2. avt2 - NT AD login OK, UID=2596 NT-пользователь avt2 не зарегистрирован! Добавляю в проект N0 с ролью 'NT-imported'. AddUser:avt2,1q2w3e
  2. Перемещаем учетку в проект доступ в инет для которого разрешен (роль 'NT-imported' сохранена)
  3. Меняем доменный пароль
  4. Авторизуемся на прокси, в результате в acWeb.log
    5. avt2 - NT AD login OK, UID=1924 NT-пользователь avt2 не зарегистрирован! Добавляю в проект N0 с ролью 'NT-imported'. AddUser:avt2,1q2w3e4r - OK! uid=125
Судя по всему проблема в следующем:
  1. При автоматическом добавлении учетка ни к какому проекту не относится и роль у нее 'NT-imported'.
  2. При последующих авторизациях производится поиск по полям login = XXX, проект = null, роль 'NT-imported', а так как проект уже заполнен, то учетка и не находится.
 
Комментарии к версии 1 (24.05.2011 05:42) [~LexXP] 72155140
Комментарии к версии 2 (24.05.2011 05:47) [~LexXP] 9498fa78
Комментарии к версии 3 (24.05.2011 05:52) [~LexXP] 93eb01db
Комментарии к этой версии (24.05.2011 05:52) [~LexXP] ea91b4d5
Комментарии к версии 5 (24.05.2011 05:53) [~LexXP] f6856e48
Комментарии к версии 6 (24.05.2011 05:53) [~LexXP] 7a534711
АвторДатаТекстtags
ac24.05.2011 07:29
Нет, тут дело в разных паролях. В E4 уникальны не логины, а пары логин:пароль. Пару месяцев назад мы тут с Dandy это обсуждали.

LexXP пишет: При автоматическом добавлении учетка ни к какому проекту не относится

Обычно относится к проекту, имя которого совпадает с именем машины (при первичной установке туда автоматически импортируются все NT-пользователи), или который импортировался из источника авторизации E3, связанного с NT-доменом.
wikipost
dandy24.05.2011 07:33
ред: 24.05.2011 07:35
в концепции Е4 могут существовать пользователи с одним и тем же логином, но разными паролями и соответственно иметь разные роли (права). Я уже как-то поднимал вопрос, что это крайне неудобно при глубокой интеграции с AD (когда сетевая инфраструктура по максимуму опирается на AD), но, увы, практически безрезультатно

p.s. интересно, а в скольких инсталляциях Е4 (по всему миру..) используется фишка, когда уникальность пользователя определяется по связке логин/пароль? может она и не так востребована?

p.s.s. а почему бы уникальность не сделать опцией конфига? т.е. предусмотртеть возможность переключения режима работы, аля AD-compatible и Е4-native
wikipost
LexXP24.05.2011 08:22
ac пишет: Обычно относится к проекту, имя которого совпадает с именем машины

У меня они совсем не совпадают, поэтому новый юзер к проекту и не отнесен.

В данный момент у меня следующая схема предоставления доступа в инет: По умолчанию доступ тарифами открыт для проекта inet_users с ролью 'NT-imported' и приоритетом 50. А для всех остальных закрыт тарифом с приоритетом 100. После попытки подключения к прокси появляется учетка не отнесенная к пректу, которую в случае необходимости я переношу в inet_users и соответственно разрешаю инет.

Как мне модифицировать схему доступа чтобы избавиться от проектов и соответственно "размножения" учеток?
wikipost
ac24.05.2011 09:22
Это не из-за нескольких проектов, а из-за того, что вы меняете пароль на несовпадающий с NT.

Избавиться от проектов легко — можно не проект менять, а роль.

dandy пишет: практически безрезультатно

Если я правильно помню, размножение [гостевых] учеток мы с вами тогда побороли. И особенность там у вас была с Linux-машинами с гостевыми правами в NT, что действительно "в E4 по всему миру" встретилось первый и пока единственный запротоколированный раз.
wikipost
ac24.05.2011 09:26
ac пишет: из-за того, что вы меняете пароль на несовпадающий с NT.
...а пользователи продолжают ходить с NT-паролями (либо сами вводят, что еще можно пресечь внушением, либо NTLM за них, тут уж только NTLM отключать).

В общем NT-imported запись создается тогда, когда E4 такую пару "логин:пароль" (от пользователя) у себя еще не имеет, но видит, что в NT такая есть, т.е. человек точно свой, и надо ему заготовочку учетки сделать.
wikipost
ac24.05.2011 09:32
И еще: если хотите сохранить схему с проектами, а не ролями, то можно использовать такой трюк для подсказки, в каком именно проекте автосоздавать NT-imported: если по прямым признакам (указанным выше) Eserv сориентироваться не может (как у вас), то он ищет "типично NTшных пользователей" и подключает новых в их проект. "Типичные" пользователи такие — IUSR_(имя_машины), "администратор", "administrator". Добавьте такого в нужный проект, и дальше Eserv должен сам сообразить.
wikipost
dandy24.05.2011 09:39
ред: 24.05.2011 09:45
ac пишет: Если я правильно помню, размножение [гостевых] учеток мы с вами тогда побороли. И особенность там у вас была с Linux-машинами с гостевыми правами в NT, что действительно "в E4 по всему миру" встретилось первый и пока единственный запротоколированный раз


Гости плодились от любых ОС (не только Linux), когда машина была не в AD (или когда NTLM не срабатывало..)

Размножеие гостевых учеток мы "победили", но так, что теперь, например, невозможно для гостя AD (всегда неавторизованного в Е4) задать свои права. А в том же thread-е я писал о том, что включение уникальности по LOGIN:PASS только сильно усложняет нормальную (читайте полноценную) интеграцию Е4 в доменную сетевую инфраструктуру на база AD.

У меня, например, на Е4 (прокси) переведен только один отдел (15 человек), с политикой смены пароля в AD раз в 3 месяца, в итоге сейчас у меня в списке пользователей по 3-4 "ИИвановых", "ППетровых" и других ...

Мое личное ИМХО, что уникальность LOGIN:PASS понадобится гораздо реже, чем полноценная интеграция с AD, но на этот счет, как я понял из предыдущих дискусий, у Вас свое мнение
wikipost
LexXP24.05.2011 10:43
ac пишет: и подключает новых в их проект

Меня в общем-то устраивает, что при автодобавлении пользователь получается без проекта. А мы потом уже сами разруливаем в какой проект и с какими правами его включить.

Все проблема как раз заключается в
dandy пишет: У меня, например, на Е4 (прокси) переведен только один отдел (15 человек), с политикой смены пароля в AD раз в 3 месяца, в итоге сейчас у меня в списке пользователей по 3-4 "ИИвановых", "ППетровых" и других ...
у меня пароли меняются раз в 30 дней и через Е4 (прокси) работают примерно 50 человек
wikipost
ac24.05.2011 10:46
ред: 24.05.2011 10:48
Dandy, а я думал, что и вас убедил ОК, тогда давайте вместе придумаем, как эта опция должна выглядеть. Вариант с прямой постоянной авторизацией по AD (как было в E3) сразу отпадает, т.к. очень уж сильно NT тормозит в некоторых сетях. Т.е. надо в любом случае кэшировать (как в позднем E3 был plugin), а раз кэшировать, то почему бы не отражать это в собственные учетки E4. Итого пришли к той схеме, какая в E4 сейчас есть. Как вы верно заметили, при штатно работающем NTLM никакие учетки не плодятся (т.к. Eserv не знает их паролей — они в NTLM прямым текстом не передаются). Значит остаётся обработать ситуацию, когда NTLM не работает (как у вас с Linux) или отключен в настройках авторизации E4. Итак, приходит пользователь с паролем, который подходит к NT, но в E4 с таким паролем такого логина нет. Варианты действий: 1) не пускать, 2) пускать с минимальными правами и сделать заготовку учетки для дальнейшей тонкой настройки админом (текущая схема в E4), 3) найти подходящего по имени пользователя в подходящем по какому-то признаку проекте и сменить ему пароль (и тут у него отваливаются все почтовые клиенты и т.д., в смысле тоже хотят теперь новый пароль). Других вариантов я не вижу (подскажите), а из перечисленных вариант 2 самый безболезненный для пользователя, хотя и не самый простой для админа. Но то, что будет мучить пользователя, аукнется и его админу...
wikipost
LexXP24.05.2011 11:58
ac пишет: и тут у него отваливаются все почтовые клиенты и т.д., в смысле тоже хотят теперь новый пароль

И вот здесь стоит задать вопрос "а почему пользователь сменил пароль?". Возможно его пароль был скомпрометирован, и он СПЕЦИАЛЬНО его изменил, дабы оградить свою персональную информацию от посягательств.
Исходя из этого я бы сказал что наиболее подходящий вариант №3. Но так как большинство видимо устраивает вариант №2, то должен быть выбор, по какому алгоритму работать.
wikipost
ac24.05.2011 13:01
Если пользователь сам меняет пароль в NT по этим соображениям, то будет логично ожидать, что он везде сменит этот "испорченный" пароль, в т.ч. и в Eserv'е через webmail (через запрос сброса пароля при неправильном логине), тем более что персональной информации в почте обычно не меньше, чем на компьютере пользователя.
wikipost
ili_a24.05.2011 13:35
ac пишет: сменит этот "испорченный" пароль, в т.ч. и в Eserv'е через webmail (через запрос сброса пароля при неправильном логине),
Там к сожалению, запрос сброса пароля приходит администратору, а сам пользователь может это сделать только при заполненном поле "Пресесылать почту..." но в этом случае почта дублируется на указанный email, что в корпоративной почте не есть хорошо То есть полноценной возможности смены пароля, к сожалению, нет.
wikipost
LexXP24.05.2011 13:36
Ну webmail у меня использует пара человек, все остальные сидят на различных клиентах. Поэтому и сменить пароль они сами не могут. Но в своем случае я про почту погорячился, потому что она у меня вообще не привязаны к NT авторизации, там свои учетки и пароли.
Но вариант №2 плох тем, что если по умолчанию инет закрыт у всех, то при смене доменного пароля инет у пользователя пропадает до тех пор пока админ не найдет время и не проведет "тонкую настройку" учетки
wikipost
dandy24.05.2011 13:42
ред: 24.05.2011 13:47
Мне так же ближе вариант №3

ИМХО 1
Есерв не должен позиционировать себя как центральная часть сетевой инфрастуктуры (когда мы говорим об AD + Eserv). Так как вариантов частичного использования Есерв-а множество (я обсолютно убежден, что подовляющее количество клиентов использует исключительно часть серверов и функций из всего набора и это надо понимать, а не продвигать философию, что все будет работать гладко, только если все функции будут использоваться и все сервисы дожны быть только Есервовские), начиная от использования только прокси сервера из всего набора серверов, заканчивая не использованием встроенного веб-интерфейса почты (лично я считаю, что веб интерфейс Е4 не идет ни в какое сравнение с нормальными/полноценными веб мордами, вроде, RoundCube, даже старой-доброй IlohaMail и даже встроенного в Exchange), но это, опять же, только ИМХО

ИМХО 2

по мне так, концепция Е3 в разрезе сетей/доменов/пользователей/источников была просто отличной. Ее вполне можно было немного расширить (для более тонкой настройки при использовании NTLM и авторизации в AD, читай NT) и перевоести на SqLite движок и было и проще, и функциональней
wikipost
dandy24.05.2011 14:00
ред: 24.05.2011 14:02
ac пишет: Значит остаётся обработать ситуацию, когда NTLM не работает (как у вас с Linux) или отключен в настройках авторизации E4.


не только ...

вот только ряд возможных (даже встречавшихся на практике) ситуаций:

  • работал пользователь с браузером и авторизовывался по NTLM и тут он (пользователь) включил другой браузер (обновил старый), запустил IM клиент через http прокси без NTLM результат вы знаете сами — это в 100% создание нового пользователя в Е4 и пошло поехало, ошибся раз паролем — новый пользователь (а нужен он?) и т.д и т.п
  • опять те же гости ... вы сами знаете, что если ПК не в AD, то NTLM (авторизация NT?) для каждого гостя генерит свой "пароль" и они "плодятся". Хорошо, мы сделали всех "гостей" неавторизованными ... как теперь дать права " гостям" ? А в английское ОС гость — guest и т.д по языкам... в обще не решение, а так заплатка — как-то работает и хорошо...
и корень зла тут один: Есерв пытается делать за админа те операции, которые должен делать админ, а именно создавать и контролировать! списки пользователей! Другими словами, все беды от автоматического создания учеток и выделения уникальности по спорной связке login:Pass ИМХО

почему не сделать так: пользователь подключается, на основании его IP, мака, явно указанного домена (для соответсвующих протоколов) определяется проект (домен) или берется проект(домен) по умолчанию. В настройках проекта проверяется флаг, разрешена ли авторизация по NT/NTLM и автосоздание пользователей (внутри конкретно этого проекта), если да, то пробуем авторизовать и если успешно и включено автосоздание, то собственно создаем уч. запись (локальную), ну и т.д и т.п. ... или это я концепцию Е3 описал? ))))))))))
wikipost
ac24.05.2011 15:49
Наезд на webmail засчитан, который раз вы к этому возвращаетесь Уже год как использую в основном E4 webmail вместо Thunderbird'а (TB упёрся в лимит в 50 соединений, и больше не хочет работать). Да, webmail в E4 далеко не идеальный, и никогда и не претендовал (была задача "чтобы он был", потому что RoundCube и пр., как я их не навязывал во времена E3, народом не приняты, а вот E4 webmail вполне себе прижился — по крайней мере вопросы по нему регулярно задают, а некоторые даже приспособили свои форумные учетки под дополнительные почтовые ящики . Возможность подключать любые "идеальные" через CGI/ISAPI никуда не делась, можно еще поискать идеальные варианты, кому мало. Меня вот неделю назад звали в Битрикс написать им webmail на PHP. Трудно представить — целыми днями писать один только webmail... Но с другой стороны как раз в таких случаях и возможно стремление к идеалу в очень узкой области.

dandy пишет: концепция Е3 в разрезе сетей/доменов/пользователей/источников была просто отличной

Я тоже так считаю Но, к сожалению, именно это вызывало наибольшее число вопросов, путаницы и соответственно проблем у пользователей.
dandy пишет: Есерв пытается делать за админа те операции, которые должен делать админ, а именно создавать и контролировать!

Он старается помочь админу устроиться так, чтобы всё работало на автопилоте. Вот в частности саморегистрация пользователя (без участия админа) — очень часто просили эту функцию.

dandy пишет: или это я концепцию Е3 описал?

Да. Когда вышел E3, то все хотели вернуть E2, "как там было просто", теперь вот по E3 ностальгия

Ладно, не убедили, но уговорили, сделаем эти NT-imported-штуки отключабельными.
wikipost
krym16.06.2011 09:08
ac пишет: Ладно, не убедили, но уговорили, сделаем эти NT-imported-штуки отключабельными.

Все еще ждем . Спасибо.
wikipost
LexXP16.06.2011 11:37
Присоединяюсь, ждем
wikipost
ac16.06.2011 18:43
Уже сделано. Сейчас идут массированные изменения кода, в т.ч. системы обновлений, в связи с выделением Eproxy опять в отдельный (опционально отдельный) продукт Eproxy/5, потому готовый 4.29 пока запустить в обновления не могу. Скоро.
wikipost
ac16.06.2011 19:56
LexXP пишет: Добавляю в проект N0

Кстати, в вашем варианте, и скорее всего у Dandy, 4.29 должен сообразить про [не]дублирование NT-imported и без этих новых опций ini и directory, т.е. можно проверить и без ожидания полного обновления. http://www.eserv.ru/download/acWEB4_2011-06-16_1.rar (старый exe на всякий случай сохраните для отката).
wikipost
dandy16.06.2011 22:21
ac пишет: Уже сделано. Сейчас идут массированные изменения кода, в т.ч. системы обновлений, в связи с выделением Eproxy опять в отдельный (опционально отдельный) продукт Eproxy/5, потому готовый 4.29 пока запустить в обновления не могу. Скоро.
это выделение будет еще в линейке Е4 или это превью к скорому "выходу" Е5?

P.S. а исходники в какой версии открыты будут? (я больше про acFilter, GUI и т.п)
wikipost
ac16.06.2011 23:08
Нет, в 4й версии все останется как есть, а в 5й будет еще вариант отдельного Eproxy.exe — для тех, кому совсем не нужна почта, веб-сервер и т.д. И интегрированный комплект (прямой потомок E4) тоже будет.

Исходники acFilter открыты не будут никогда, т.к. по API антивирусов и антиспамов у нас NDA. Исходники всего остального открыты и никогда не закрывались — spf.sourceforge.net (на CVS), acWEB.sf.net и т.д. [не забывайте ссылку "Как самому скомпилировать Eserv"], интегрированный и браузер и прочие GUI — acterm.sourceforge.net (там исходники для acT.exe — вариант acWEB для Финаналитика, http://www.audit-it.ru/finanaliz/index.php , отличия обертки браузера только в текстах).
wikipost
dandy15.07.2011 10:32
попробовал Eproxy 5 beta 1 и не понял, как отключить автосоздание пользователей... или только отключено дублирование?

никаких доп. ручек не нашел, кроме того на связке NTLM+Basic заметил несколько багов (например, создаются учетные записи для пользователей, которых нет ни в домене, ни в проекте. т.е. на запрос авторизации если вводишь test/test — отсутствующего пользователя, Eproxy зачем-то создает такого пользователя у себя в БД и следующий запрос уже обрабатывает, как для авторизованного пользователя)
wikipost
ac15.07.2011 14:41
И куда он помещает этого вновь созданного test/test?
wikipost
ac15.07.2011 14:42
А версию от 16 июня выше вы испытывали?
wikipost
Работает на Eserv/5.05567 (10.02.2020)