Аутентификация в BM 3.5

Обсуждение технических вопросов по продуктам Novell

Аутентификация в BM 3.5

Сообщение Олег Тоцкий (OlegT) » 19 сен 2003, 10:06

А не подскажет ли кто-нибудь, как имея BM 3.5 SP3 добиться следующего:
имеется несколько сегментов сети, из них SSL-аутентификация необходима только в одном, а в остальных желательно, чтобы пользователи ничего о ней не знали (идельный вариант, чтобы прокси попросту выдавал им 403 ошибку)
Олег Тоцкий (OlegT)
 
Сообщения: 10
Зарегистрирован: 15 авг 2003, 18:08
Откуда: Днепропетровск

Сообщение Владимир Горяев » 19 сен 2003, 10:50

Либо правилами по диапазону IP адресов, либо поиграться с назначением Public и Private интерфесов.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Константин Ошмян » 19 сен 2003, 11:25

Боюсь, что вряд ли получится - аутентификация включается на уровне всего прокси-сервера, и после её включения Border Manager будет её требовать от всех, независимо от правил и интерфейсов (хотя бы для того, чтобы в логе имя пользователя прописать). Играться можно разве что с разными способами аутентификации - попробовать, например, внедрить SSO через Clntrust.exe, чтобы пользователей лишними вопросами не беспокоить.
Аватара пользователя
Константин Ошмян
 
Сообщения: 961
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

Сообщение Владимир Горяев » 19 сен 2003, 11:32

Еще можно фмльтрами прикрыть
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Олег Тоцкий (OlegT) » 19 сен 2003, 11:57

Как с фильтрами так и с правилами уже "игрались", но ничего не помогает
Олег Тоцкий (OlegT)
 
Сообщения: 10
Зарегистрирован: 15 авг 2003, 18:08
Откуда: Днепропетровск

Сообщение Владимир Горяев » 19 сен 2003, 14:09

А если зайти с др стороны, не получается закрыть SSL порт - закрыть Proxy порт.
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Иван Левшин aka Ivan L. » 19 сен 2003, 14:20

ИМХО, Константин Ошмян уже все сказал:
внедрить SSO через Clntrust.exe, чтобы пользователей лишними вопросами не беспокоить.

К этому варианту добавить еще отключение SSL - и вы в шоколаде с ног до головы! По этому варианту тот сегмент сети, где будет запускаться clntrust, будет юзить прокси без проблем - даже без ответа на глупые вопросы в окошке SSL-аутентификации. Остальные сегменты не смогут пользоваться прокси даже в том случае, ежели укажут адрес прокси-сервера. Правда, тут проблема м.б. в том, что пользователь из разрешенного сегмента может зайти со своей учеткой в запрещенном сегменте. Обычно clntrust запускается из логин-скрипта. Вдобавок к назначению прав на clntrust на уровне файловой системы необходимо добавить запрет (restriction) на адреса, с которых пользователь может заходить в сеть.
Иван Левшин aka Ivan L.
 
Сообщения: 2365
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Олег Тоцкий (OlegT) » 19 сен 2003, 19:16

К сожалению, закрыть прокси для сегментов, в которых аутентификация не требуется нельзя, т.к. в этих сегментах юзера должны ходить в Инет без нее (т.е. правила назначаются не по объектам NDS, а по IP-адресам). Что касается аутентификации, то она по некоторым причинам происходит не через clntrust, а через HTML-страничку и поэтому когда юзер из сегмента, в котором не требуется аутентификации, обращается к запрещенному ресурсу, то хотелось бы чтобы эта страничка у него не появлялась (а к примеру сразу выскакивала 403 ошибка).
Олег Тоцкий (OlegT)
 
Сообщения: 10
Зарегистрирован: 15 авг 2003, 18:08
Откуда: Днепропетровск

Сообщение Иван Левшин aka Ivan L. » 20 сен 2003, 11:48

Блин...
1. Ежели юзверю не надобен прокси - пусть просто галку снимет в осле! Я-то думал - тебе не надо, чтобы из ентих сегментов вообще ходили ;) А тут все наоборот...
2. Если ты правила (или фильтры - не знаю, чем ты там разруливаешь) прописываешь, основываясь на айпишниках - при чем здесь юзвери вообще??? Они в принципе могут просто сесть за любую из машин с разрешенным айпишником и выйти в инет! Никак ты не сможешь это предотвратить.... Единственный способ - гонять их из-за этих машин. Насколько мне ивзестно, комбинированные правила - такие, чтобы учитывали и адрес, и юзверя - на прокси (любом) прописывать нельзя... Хотя здесь я могу и ошибаться - знаком только со сквидом и бордюром. Эти, как встречают первое отрабатывающее правило, остальную цепочку просто игнорируют... Можно, конечно, поставить еще один прокси и авторизовать по цепочке - но это, во-первых, лишняя задержка при обработке, во-вторых - какой именно из проксей ставить первым???

Короче - мне кажется, что никак проблему решить тебе не удастся...
Иван Левшин aka Ivan L.
 
Сообщения: 2365
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Солидарен

Сообщение Мещеряков Андрей » 22 сен 2003, 08:46

Приветствую!
Похоже, что тут неясность на организацонном уровне. При отсутствии ясного критерия неочевидной становится и истина (с) Ю. Семенов.
:idea: Из этого сегмента - ходи через прокси, из другого - ходи без прокси :roll: Может, все-таки всем через прокси, не смотря на цвет штанов :lol:
:idea: Раздавать правила по адресам ... Мне конечно, далеко, но кажется, причина просто в отсутствии системы пользователей и сетевых правил :D . Если этот так, то создайте их, и вам будет счастье!
С уважением, And
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Владимир Горяев » 22 сен 2003, 09:20

Олег Тоцкий (OlegT) писал(а):К сожалению, закрыть прокси для сегментов, в которых аутентификация не требуется нельзя, т.к. в этих сегментах юзера должны ходить в Инет без нее (т.е. правила назначаются не по объектам NDS, а по IP-адресам). Что касается аутентификации, то она по некоторым причинам происходит не через clntrust, а через HTML-страничку и поэтому когда юзер из сегмента, в котором не требуется аутентификации, обращается к запрещенному ресурсу, то хотелось бы чтобы эта страничка у него не появлялась (а к примеру сразу выскакивала 403 ошибка).
Transparent HTTP Proxy + правила по IP адресам.
:?:
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Олег Тоцкий (OlegT) » 22 сен 2003, 14:07

А кто сказал, что прокси где-то не нужен? Он нужен во всех сегментах. Только в одном из сегментов от юзеров требуется аутентификация (с помощью SSL + Html form), а в других сегментах пользователи ходят в Инет через прокси, но без аутентификации (т.е. в правилах BM прописан список IP-адресов с которых такое дозволено). В тех же правилах прописаны некоторые сайты, на которые доступ закрыт всем без исключения. В сегменте с аутентификацией при попытке доступа к такому сайту прокси сразу выдает 403 ошибку, а в стальных сегментах прокси сначала требует аутентификации (разумеется, ведь стоит галка "Authenticate only when user attempts to access a restricted page"). Так вот, требуется, чтобы прокси не требовал в этих сегментах аутентификации, а сразу выдавал 403 ошибку.
Олег Тоцкий (OlegT)
 
Сообщения: 10
Зарегистрирован: 15 авг 2003, 18:08
Откуда: Днепропетровск

Сообщение Константин Ошмян » 22 сен 2003, 16:20

OlegT писал(а):В сегменте с аутентификацией при попытке доступа к такому сайту прокси сразу выдает 403 ошибку, а в стальных сегментах прокси сначала требует аутентификации (разумеется, ведь стоит галка "Authenticate only when user attempts to access a restricted page").
Именно это я и имел в виду, когда говорил:
Константин Ошмян писал(а):Боюсь, что вряд ли получится - аутентификация включается на уровне всего прокси-сервера, и после её включения Border Manager будет её требовать от всех, независимо от правил и интерфейсов
(эх, приятно себя, любимого, цитировать! :D )
Т.е. то, что Вы пытаетесь сделать, в Border Manager 3.x не работает - ни в 3.5, ни в 3.6, ни в 3.7. Может быть, будет по-другому, когда сделают версию 4.0, но пока - нет, работает так именно потому, что именно так и сделано (извините за тавтологию).

А раз так, как Вы пытаетесь сделать, не работает, - значит, можно попробовать сделать как-то по-другому. :) Один из вариантов я предложил - вместо отсутствия аутентификации вообще использовать аутентификацию через CLNTRUST.EXE - для пользователей эффект будет тот же, а для Вас - отличаться тем, что будет работать. :)
Аватара пользователя
Константин Ошмян
 
Сообщения: 961
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: Yahoo [Bot] и гости: 2