Вопросы знатокам BM

Обсуждение технических вопросов по продуктам Novell

Вопросы знатокам BM

Сообщение Сергей Дубров » 22 окт 2003, 07:53

Мой студент роет в направлении полноценного прикручивания SQUID-а к eDir и у него в процессе изучения возникли некоторые вопросы, которые он попросил меня задать знатокам Border Manager-а. Итак, речь идёт о безопасной аутентификации при использовании SQUID-а в качестве прокси-сервера. На сегодня в каждом запросе гоняется открытым текстом пароль (base64), что не есть хорошо. Способов решить эту проблему есть несколько:

1) Написать аналог clntrust. Нынешний общается с BM по одному ему известному протоколу (т.е., привязан к BM only), работает только под виндами и НЕ работает на терминальных серверах. Некоторые идеи на эту тему пробуются (н-р, как вариант - модификация identd + модуль для squid-а, и хотя портированный под винды identd также не поддерживает терминальные сервера, но это дело техники, я думаю, исходники в наличии).

2) SSL аутентификация. Вот в этой части есть несколько конкретных вопросов, я их просто процитирую:

Вопрос 1: Каким образом ВМ определяет кому принадлежит каждый http-запрос? Как говорится, ну и что, что клиент ввел правильное имя и пароль через https на какой-то страничке. Как определить, что дальнейшие запросы поступают именно от него же? Наиболее полное описание ssl аутентификации нашел здесь:
http://support.novell.com/cgi-bin/searc ... 023518.htm
Но ответ на вопрос не получил. Звучали там слова, что после аутентификации клиента, ВМ создает у себя unlicensed connection, но как это ему помогает, не понял.

Вопрос 2: 2)Верно ли утверждение: ssl аутентификация ВМ не работает с терминальными серверами? Иначе зачем городить огород:
http://www.novell.com/coolsolutions/bor ... th_bm.html

Вопрос 3: По поводу Z-2: http://www.jetinfosoft.ru/download/dox.html
Скачал я там руководство администратора, почитал. Схема их решения очень похожа на нашу: есть клиент, есть firewall, есть внешние модули аутентификации. Цитата (с. 76): "http - протокол без поддержки сессий, т.о. авторизация и проверка пароля происходит на каждый запрос." Возникает вопрос, неужели пользователи Z-2 тоже гоняют пароли в base64 при http аутентификации? Все таки ведь коммерческое решение, странно бы было, если это действительно так. Накатал я им мыло в службу поддержки Z-2-support@jet.msk.su - без результатно, молчат :(. Наверное надо сначало денежки за продукт заплатить, а уж потом начнут отвечать :).

Комментарии к последнему вопросу - если кто помнит, на BS2002 выступал Борис Тоботрас и рассказывал про их собственный firewall (Z-2), а, точнее, про написанные ими модули аутентификации - под LDAP (понятно и неудивительно) и под eDir (вот это уже очень интересно). Хотелось бы понять, как и что они сделали, чтобы не изобретать велосипедов. Понятно, что под сквид писать нечто всё равно придётся, хочется понять, как у Z-2 реализована ssl-аутентификация с клиентской стороны.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2072
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Андрей Троценко » 22 окт 2003, 13:39

Вопрос 1: Каким образом ВМ определяет кому...

По его IP-адресу. После успешной аутентикации (через SSL-соединение, где пароль передается уже в прошифрованном потоке), компонента бордера, ответственная за аутентикацию (AUTHCHK.NLM) хранит в памяти IP клиента, и дальнейшие запросы с ЭТОГО IP считаются разрешенными. TID подчеркивает, что в отличии от SSO (CLNTRUST), в ЭТОЙ схеме нет возможности делать явный LOGOUT клиенту - используется timeout неактивности (настраиваемый). Ес-но, что если до истечения этого таймаута, на станции будет работать другой пользователь, то бордер будет считать его прежним (прошедшим аутентикацию) ;-(
Момент связанный с UNLICENSED CONNECTION, в контексте Вашего вопроса - косметический.

Вопрос 2: Верно ли утверждение...

Проблема здесь (и для SSL и для не SSL аутентикации) в одном IP, используемом несколькими клиентами (фактически - терминальным сервером) - т.е. схема, описанная в п. 1 компрометируется. BM37sp1 был выпущен с временным решением этой проблемы, для sp2 уже обещали сделать более красивый вариант - client-side plugin.
Увы, у меня бордер - 3.5, поэтому детальнее не скажу.
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Спасибо!

Сообщение Сергей Дубров » 23 окт 2003, 06:18

Андрей, большое спасибо! Перешлю твои ответы студенту, пусть роет дальше.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2072
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Павел Орлов aka XerX » 23 окт 2003, 10:33

Сергей !
По поводу Z-2 - я в ближайшее время переадресую этот вопрос персонально Борису Тоботрасу....
Ответ обязательно сообщу
CNE 5, 6
Павел Орлов aka XerX
 
Сообщения: 284
Зарегистрирован: 26 июн 2002, 17:17
Откуда: Москва

Сообщение Сергей Дубров » 23 окт 2003, 11:23

Павел Орлов aka XerX писал(а):Сергей !
По поводу Z-2 - я в ближайшее время переадресую этот вопрос персонально Борису Тоботрасу....
Ответ обязательно сообщу

Спасибо большое, а то ведь они так и не ответили. Кстати, сегодня студент приходил, рассказывал, что ему на новеловском форуме уже подробно рассказали про ssl-аутентификацию BM и что именно Новел сделал для терминальных серверов. Оказывается, теперь для пользователя заводится некая персональная сессия (в терминах BM) и дальше все запросы с тем же IP и ТОЙ ЖЕ сессией пропускаются в И-нет. Т.е., если с одного IP ходит несколько человек, есть возможность их различить. В первом патче номер сессии выдавался бордюром и человек должен был вручную вставить его в форму, сейчас вроде бы сделали плагин, который подставляет в форму номер сессии самостоятельно, без ручного вмешательства.

Студента рассмешило следущее обстоятельство - когда он поинтересовался, каким образом IP+номер сессии передаётся в запросе, выяснилось, что это всё тот же base64 encoded. Когда он сказал, что теоретически это ведь открытй текст и с этого же терминального сервера, перехватив чужой номер сессии, можно подделаться под другого юзера, ему ответили - ты что, это же ENCODED текст, так просто его не прочитаешь :lol:.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2072
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Павел Орлов aka XerX » 27 окт 2003, 16:47

Сергей !
Пришел ответ от Бориса Тоботраса :

1. Конечно, используется HTTP basic authentication.
2. У Novell есть клиентская часть от eDirectory, включающая
соответствующий PAM-модуль. У Z-2 сервер аутентификации работает через
PAMы, поэтому зацепляется за eDirectory почти без участия человека.
3. SSL у Z-2 устроен стандартным (Javaйским) образом, если речь
идет про консоль администратора и ее коннект к firewall'у.



Привожу As Is .... надеюсь окажется полезным
CNE 5, 6
Павел Орлов aka XerX
 
Сообщения: 284
Зарегистрирован: 26 июн 2002, 17:17
Откуда: Москва

How do I logout using SSL Authentication?

Сообщение Андрей Фисенко » 27 окт 2003, 18:33

Андрей Троценко писал(а):... , в ЭТОЙ схеме нет возможности делать явный LOGOUT клиенту - используется timeout неактивности (настраиваемый).


Simply enter the following URL : http://server:1959/cmd/BM-Logout/
(replacing "server" with your BM Server's IP address)
Андрей Фисенко, Представитель Novell по Сибири и Дальнему Востоку
Изображение
Андрей Фисенко
 
Сообщения: 1308
Зарегистрирован: 05 июн 2002, 08:13
Откуда: Красноярск

Sorry, что вмешиваюсь...

Сообщение Мещеряков Андрей » 28 окт 2003, 15:48

Приветствую!
А как тогда идентифицируются пользователи, лазящие в Инет через шлюз IPX/IP ? В логах все они идут за одним и тем же адресом: 0.0.2.34. Но системой как-то различаются (иногда)

Всего наилучшего
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7

cron