* Авторизация винды через прокси - [Eserv Forum]

Регистрация...

Eserv Forum / e4 / proxy / Авторизация винды через прокси

wikipost /2010-09-15 11:12/ Levin (v1)

Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании

У нас установлен пароль на доступ к HTTP (способ авторизации — basic). Необходимо авторизовать легальный WIN7 — при этом он должен выйти в интернет, а спросить логин-пароль не умеет. Сами мелкософты пишут:

Способ 1. Не используйте обычную проверку подлинности
Откажитесь от использования обычной проверки подлинности на прокси-сервере. Однако если обычную проверку подлинности использовать необходимо, добавьте URL-адреса списков отзыва сертификатов (CRL) в список исключений проверки подлинности. Для этого включите следующие списки CRL в перечень не подлежащих проверке подлинности при использовании прокси-сервера:
•

http://go.microsoft.com/*
•

https://sls.microsoft.com/*
•

https://sls.microsoft.com:443
•

http://crl.microsoft.com/pki/crl/products/MicrosoftRootAuthority.crl
•

http://crl.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunications.crl
•

http://www.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunications.crl
•

http://crl.microsoft.com/pki/crl/products/MicrosoftProductSecureServer.crl
•

http://www.microsoft.com/pki/crl/products/MicrosoftProductSecureServer.crl

Это преодолимо?

Изменить страницу (создать новую её версию)

Удалить страницу (версию)

Комментарии к этой версии (15.09.2010 11:12) [~Levin] b6c713a4

Автор	Дата	Текст	tags
pig	15.09.2010 11:53	Я это преодолевал самым лобовым способом — занёс все специфические URL в белый список, разрешив ходить туда без авторизации. Как мелкософты и советуют. Всё равно человекам там делать нечего.	wikipost
Levin	15.09.2010 12:07	А как добраться до белого списка и как разрешить ходить туда без авторизации?	wikipost
matveeva	15.09.2010 13:11 ред: 15.09.2010 13:12	Это в правах доступа. Указать там имя файла, в который складывать построчно имена сайтов. И поставить права 255 без указания ролей. Вроде, так.	wikipost
Levin	15.09.2010 13:51	Не получается Я даже закатал все эти http построчно в права доступа. Дал каждому права 255, а прочие поля пустые. Не проходит, хоть тресни. Может в пароль надо чегой-то вставить?	wikipost
matveeva	15.09.2010 14:26 ред: 15.09.2010 14:30	У меня стоит, например, ресурс ../BannerBlackList.txt с нулевыми полномочиями, и в папке Е4 лежит файлик BannerBlackList.txt с адресами типа: http://62.16.103.37/bnrot/br.asp* http://62.26.220.2/server/rich.asp http://62.27.57.2* Хм. Это обратный пример. Когда никому нельзя. 255 — всем можно. Но! У меня нет пароля на доступ. Может, все дело в этом?	wikipost
Levin	15.09.2010 14:32	matveeva пишет: Но! У меня нет пароля на доступ. Может, все дело в этом? Боюсь, что в этом-то все дело Как я понял при basic-авторизации пароль спрашивается при обращении к прокси	wikipost
Levin	15.09.2010 14:35	pig пишет: разрешив ходить туда без авторизации. Как мелкософты и советуют. А как это сделать	wikipost
matveeva	15.09.2010 14:50	Levin пишет: при basic-авторизации пароль спрашивается при обращении к прокси у меня авторизация стоит basic, а "пароль на доступ" — стоит "нет". Не спрашивает.	wikipost
ili_a	15.09.2010 15:01 ред: 15.09.2010 15:02	Попробуйте в ресурсе ставим имя файла или отдельный URL IP = * Права — все, или те что надо. У меня сработало, пароль не спросила (проверял на forum.eserv.ru)	wikipost
Levin	15.09.2010 15:03	matveeva пишет: у меня авторизация стоит basic, а "пароль на доступ" — стоит "нет". Не спрашивает. А у меня стоит "Да" т.к. необходимо пускать в интернет только избранных (не всех пользователей локального домена).	wikipost
ili_a	15.09.2010 15:06	ili_a пишет: Попробуйте в ресурсе ставим имя файла или отдельный URL IP = * Права — все, или те что надо. У меня сработало, пароль не спросила (проверял на forum.eserv.ru) Извините, обманул, не работает... Был открыт параллельно еще один IE	wikipost
ac	15.09.2010 15:08	Да, белый список для неавторизованных — недодуман в конфиге. Вот изменение в acWEB\conf\OnStartup.rules.txt после S" PROXY[HttpRequireAuth]" EVALUATE >FLAG: UID @ 0= IF S" PROXY[HttpRequireAuth]" EVALUATE >FLAG IF URL EvalACL IF arR AND 0= \ URL есть в ACL, и права чтения его нет ELSE DROP TRUE THEN \ URL нет в ACL IF S" ProxyUnauthorized PROXY" EVALUATE THEN THEN ELSE SelectTPlan \ переустановить тар.план, если была авторизация THEN	wikipost
Levin	15.09.2010 15:12	ili_a пишет: Попробуйте в ресурсе ставим имя файла или отдельный URL IP = * Права — все, или те что надо. У меня сработало, пароль не спросила (проверял на forum.eserv.ru) Не сработало	wikipost
Levin	15.09.2010 15:32	Файл: описание файла 1 [21111 bytes] После замены файла — acWeb перестал загружаться. Выше этот файл — неправленный. Подправьте, пожалуйста и перешлите мне.	wikipost
ac	15.09.2010 18:27	http://www.eserv.ru/download/acWEB_conf_OnStartup_rules_txt.zip	wikipost
ac	15.09.2010 18:29	Отправлял этот diff (ниже) сразу после поста 15.09.2010 16:08, но в этот момент вырубили электричество. *** старый IF S" PROXY[HttpRequireAuth]" EVALUATE >FLAG IF S" ProxyUnauthorized PROXY" EVALUATE THEN ELSE * новый IF S" PROXY[HttpRequireAuth]" EVALUATE >FLAG IF URL EvalACL IF arR AND 0= \ URL есть в ACL, и права чтения его нет ELSE DROP TRUE THEN \ URL нет в ACL IF S" ProxyUnauthorized PROXY" EVALUATE THEN THEN ELSE ***	wikipost
Levin	16.09.2010 09:12 ред: 16.09.2010 11:17	Заменил по варианту от 19:29 — файл прилагаю - Файл: описание файла 1 [7017 bytes] результат был кошмарный — всех перестало пускать в интернет Меня едва не убили Срочно вернул старый файл, хочется получить целый новый — вдруг я что-то где-то нетак и из-за этого все получается, как всегда : )[ А может я не понял и после замены файла надо перед перезагрузкой сам acWeb как-то перетранслировать?	wikipost
ac	16.09.2010 13:01	Ничего перетранслировать не надо. Файл по ссылке 19:27 выше ( http://www.eserv.ru/download/acWEB_conf_OnStartup_rules_txt.zip )	wikipost
Levin	16.09.2010 13:10	Так это мой старый файл Тот, что я Вам посылал, неправленный.	wikipost
ac	16.09.2010 13:16	Если что-то с новым файлом не работает, то давайте смотреть в DATA\log\HTTP-PROXY\2010-09-16-log.txt. Изменение это меняет логику авторизации совсем незначительно: если URL есть в списке в "Правах доступа", если право его чтения включено и если не указаны никакие роли и т.д. (т.е. заполнено только поле ресурса и галочка в правах), то пароль на доступ через прокси к этому ресурсу не запрашивается, сразу качает. Всё остальное работает как работало раньше. Проверено.	wikipost
ac	16.09.2010 13:18	Ни с одним из ваших файлов этот не совпадает (сравните с помощью fc.exe), хотя с вашим последним файлом почти совпадает — отличия только в добавленных вами закомментированных строках, т.е. должно работать с равным успехом.	wikipost
Levin	16.09.2010 13:42	Вот этот лог: 2010-09-16 14:33:15; 192.168.1.61;14872;0;0;0;- (0,0,/,) TCP_DENIED/407 112 GET http://go.microsoft.com/fwlink/?LinkId=69157 DIRECT/ - 0 14872 14872 00-1C-C0-FE-18-AB unknown() 112;826;0;0 0;;(192.168.1.61,1902) Что до файла то его длина не изменилась (21111) и дата 13.09?	wikipost
ac	16.09.2010 13:49	Ой, извините!, дата конечно не 13. Правильная ссылка http://www.eserv.ru/download/OnStartup_rules_txt_2010-09-15_1.rar	wikipost
Levin	16.09.2010 14:05	И опять не прошло. Вот лог: 2010-09-16 15:02:20; 192.168.1.61;4827;0;0;0;- (0,0,/,) TCP_DENIED/407 112 GET http://go.microsoft.com/fwlink/?LinkId=69157 DIRECT/ - 0 4827 4827 00-1C-C0-FE-18-AB unknown() 112;826;0;0 0;;(192.168.1.61,2126) 2010-09-16 15:02:20; 192.168.3.86	wikipost
ac	16.09.2010 14:23	А авторизованных допускает в интернет, как и раньше, так? Этот ресурс http://go.microsoft.com/* добавьте в "Пользователи/Права доступа", поставьте галочку, разрешающую чтение.	wikipost
Levin	16.09.2010 14:29	ac пишет: А авторизованных допускает в интернет, как и раньше, так? Точно так. И ресурс стоит — см. ниже Файл: описание файла 1 [191488 bytes]	wikipost
ac	16.09.2010 14:53	Ресурс не тот, звёздочку в конце забыли. (В отличие от E2, она там не подразумевается по умолчанию).	wikipost
Levin	16.09.2010 14:59	Звездочка есть — посмотрите в правой части картинки. Я специально поставил курсор на эту строку. Просто в таблице ресурсов для длинных текстов печатается только начало! Все строки ниже http://go.microsoft.com/* еще длинней.	wikipost
Levin	16.09.2010 16:09	А еще я добавил в качестве ресурса имя файла (текстового) с этими мелкософтами — и опять не прошло!	wikipost
ac	16.09.2010 16:21	Вот у меня лог до добавления http://go.microsoft.com/: 2010-09-16 16:16:19; 192.168.0.33;684;0;0;15;- (0,0,/,) TCP_DENIED/407 112 GET http://go.microsoft.com/fwlink/?LinkId=69157 DIRECT/ - 0 684 684 00-19-66-54-74-33 unknown() 7466;53466;0;0 0;; не пускает. Добавил http://go.microsoft.com/, захожу снова: 2010-09-16 16:17:03; 192.168.0.33;687;0;0;656;- (0,0,/,_150(4)) TCP_MISS/302 497 GET http://go.microsoft.com/fwlink/?LinkId=69157 DIRECT/64.4.11.160 text/html; 0 109.237.1.49 687 687 00-19-66-54-74-33 unknown() 757;1222;1178;719 0;; нормально без логина отрабатывает. В скобках там 150 — это номер правила в ACL, 4 — назначенные права.	wikipost
ac	16.09.2010 16:22	Может не перезапускали после замены файла?	wikipost
Levin	17.09.2010 08:37	Перезагружал все и сейчас снова повторил перезагрузку всех служб. Не проходит. В файле ниже лог, текст файла c:\e4\whitelist.txt, куда я занес все эти ресурсы и снимок экрана с ресурсами. Может неправильное обращение к файлу или в его тексте надо что-то еще? Но мораль — механизм не работает ни при прямом вводе в окне права доступа ни при вводе ресурсов через файл. Файл: описание файла 1 [159232 bytes]	wikipost
ac	17.09.2010 12:43	У меня работает и с файлами. ОК, сейчас попробую запустить на списке ACL в варианте 1:1 к вашему. Если заработает, то придётся сделать для вас специальную отладочную версию и отправить для получения детального лога.	wikipost
ac	17.09.2010 12:54	Работает и с вашим набором правил. 2010-09-17 12:51:09; 192.168.0.33;103;0;0;875;- (0,0,/,_5(255)) TCP_MISS/302 497 GET http://go.microsoft.com/fwlink/?LinkId=69157 DIRECT/64.4.11.160 text/html; 0 109.237.1.49 103 103 00-19-66-54-74-33 unknown() 577;932;898;548 0; В общем, собираю отладочную версию.	wikipost
ac	17.09.2010 15:01	http://www.eserv.ru/download/acWEB_2010-09-17_1.rar — замена трёх файлов. Точнее, OnStartup там прежний (с позавчерашними изменениями), но включен на всякий случай. После перезапуска можно будет отслеживать срабатывание ACL по логу DATA\log\stat\201009acl.txt. Например: 2010-09-17 14:50:25;192.168.0.33;HTTP-PROXY;;;0;;http://go.microsoft.com/fwlink/?LinkId=69157;_150(4);1;4 Последние три поля — "_сработавшие_правила(сумма_прав);флаг_url_есть_в_списке_acl;права"	wikipost
Levin	17.09.2010 15:17	Одни нули?! 2010-09-17 16:12:43;192.168.1.61;HTTP-PROXY;;;0;;http://go.microsoft.com/fwlink/?LinkID=88338;;0;0 2010-09-17 16:12:43;192.168.1.61;HTTP-PROXY;;;0;;http://go.microsoft.com/fwlink/?LinkID=88338;;0;0	wikipost
Levin	17.09.2010 15:36	Такие записи возникли при ЗАПРОСЕ ПАРОЛЯ и отказе в ответе. Отличаются от прочих — отсутствием логина и домена.	wikipost
ac	17.09.2010 16:17	Нули — значит прокси не находит элементов ACL, подходящих под URL. Т.е. почему-то не срабатывает у вас запись http://go.microsoft.com/*. Непонятно... Вышлите, пожалуйста, ваш CONF\lists\directory.db3 на support@eserv.ru (архивом).	wikipost
ac	17.09.2010 16:22	Если у вас эти маски собраны в файл, а из списка убраны, то учтите, что первая строка в файле игнорируется (считается, что там имена полей).	wikipost
Levin	17.09.2010 21:12	В файле первая строка непустая, но в списке все осталось, только добавилась строка с именем файла. Файл смогу выслать только в понедельник. Я пробовал и другие строки из списка — тоже не проходит.	wikipost
Levin	20.09.2010 09:12	В файле вставил первую пустую строку — не помогло. Файл отправил.	wikipost
ac	20.09.2010 13:01	Файл в архиве датирован 26 июля — наверняка не тот, который вы редактируете и используете на сервере.	wikipost
Levin	20.09.2010 13:24	Какая-то накладка вышла. Отправил свежайший.	wikipost
ac	20.09.2010 15:04	Получил. Причина несрабатывания правил ACL оказалась тривиальной — в поле IP-адреса стоит пробел. Соответственно при сравнении ACL поле считалось непустым, IP клиента сравнивалось с пробелом и не совпадало. Не первый раз наступаю на эти грабли — не учитываю такие варианты входных данных. Исправление: http://www.eserv.ru/download/acWEB_2010-09-20_1.rar (теперь пробелы в значениях полей отрезаются). Спасибо за помощь в тестировании!	wikipost
Levin	20.09.2010 15:37	Не получилось. Точнее получилось не полностью. 2010-09-20 16:31:17;192.168.1.61;HTTP-PROXY;;;0;;http://go.microsoft.com/fwlink/?LinkID=88338;_8(255)_16(255);2;255 2010-09-20 16:31:17;192.168.1.217;HTTP-PROXY;Water;lenmetro.ru;68;;http://sputnikmaps.mail.ru/informer/informer.aspx?geocode=1301;;0;0 2010-09-20 16:31:17;192.168.1.61;HTTP-PROXY;;;0;;activation.sls.microsoft.com:443;;0;0 2010-09-20 16:31:17;192.168.1.61;HTTP-PROXY;;;0;;activation.sls.microsoft.com:443;;0;0 Какие -то проблемы с HTTPS или ей не нравится 443 порт? Я пытался вставить в список прямо activation.sls.microsoft.com:443 или *.sls.microsoft.com:443 - не пропускает.	wikipost
ac	20.09.2010 17:02	Укажите просто sls.microsoft.com.	wikipost
Levin	21.09.2010 08:21	Сделал. Не проходит. 2010-09-21 09:13:23;192.168.1.61;HTTP-PROXY;;;0;;activation.sls.microsoft.com:443;;0;0 Файл: ((http://forum.eserv.ru/~Levin/files/Doc5.doc описание файла 1)) [154112 bytes]	wikipost
ac	21.09.2010 14:05	Не https://sls.microsoft.com, а просто sls.microsoft.com.	wikipost
Levin	21.09.2010 14:15	Получилось Спасибо Однако, было бы очень полезно перекачать содержательную часть если не в документацию, то в FAQ. Форум уже очень велик и крупицы информации в нем тонут в ненужных деталях. Я, например, про пустую строку в файле с ресурсами когда-то читал, но т.к. при этом искал что-то другое — тут же забыл.	wikipost

Работает на Eserv/5.05567 (10.02.2020)