Страница 1 из 2

Проблемы с аутентификацией в BorderManager

СообщениеДобавлено: 02 фев 2004, 20:22
Vershkov_AV
He-e-e-l-p!
Кто-нибудь знает как можно заставить Бордер пускать пользователей в интернет поправилам в дурном дереве?!
Исходная информация:
NetWare 5.1, sp6;
BorderManager 3.5, sp3;
в дереве (к сожалению создавалось не мной) существуют контейнеры (часть) и пользователи (почти все) имеют РУССКИЕ имена,
:evil: типа Пупкин_Вася.Склад.Moscow.Org_Name

Вопрос:
Как таки сделать так, чтобы Бордер Васю Пупкина не пускал никуда,
Марь Иванну - бухгалтера пускать в InLine.ru, а на порнуху не пускать, а Николая Ивановича - ген.директора пускать везде.
Предложения принимаются любые, кроме
- смены имен контейнеров и пользователей (с этим предложением я уже выходил -- добро получено не было);
- раздачи Инета по IP-адресам.

Заранее спасибо,

СообщениеДобавлено: 02 фев 2004, 20:49
Иван Левшин aka Ivan L.
А доступ по НДС имени не пробовал? Access Rules прописываешь на уровне сервера либо объекта O. И там - ручками вбиваем в правило тех, кому можно куда ходить. Запрещающие правила выше помещаешь. Тем, кому можно все - помещаешь выше запрещающих. В чем сложности? Или ты вообще бордюр никогда не настраивал?

Я по группам народ разбил - в соответствии с уровнем доступа. Перемещаем товарищей из группы в группу - и все. Правда, у меня русских имен в деревер нету

Увы...

СообщениеДобавлено: 02 фев 2004, 20:57
Андрей Троценко
Это была одна из причин, по которой я отказался от русских наименований объектов в дереве - BM не выпускал :D

Как одно из решений "малой кровью" - переименовываете объект в латиницу, и создаете псевдоним (по-русски) - для пользователей это изменение будет прозрачно, а для вас - бордер будет работать.

Да, наименования контейнеров - туда же !

Успехов.

Про группы

СообщениеДобавлено: 02 фев 2004, 21:09
Vershkov_AV
Дык в том-то (в русских именах) и дело, я тоже думал раскидать по трем-четырем группам: группе1 только туда,
группе2 всюду кроме,
группе3 везде.

Не работает.
ACLCHECK.NLM подумал-подумал и выдал:
An NDS API (NWDSRead-ReadAcl) returned error -741,
про которую написано:
741 FFFFFD1B NAME TYPE NOT SUPPORTED
Source: eDirectory or NDS

Explanation: An application attempted to use a name type that was not supported by the eDirectory or NDS API.

Possible Cause: The application you are running encountered a programming error.

Action: Contact the developer of the application.


Вот такие пирожки,

Вдогонку

СообщениеДобавлено: 02 фев 2004, 21:13
Vershkov_AV
to Андрей Троценко
Имена групп были естественно по-английски и находились в том-самом Moscow.Ogr_Name где тоже все по английски.

СообщениеДобавлено: 03 фев 2004, 12:32
Андрей Троценко
А для целого контейнера - работает ?

СообщениеДобавлено: 03 фев 2004, 17:26
Vershkov_AV
Я проверял для сервера. А на контейнер у меня стоит только на самый верхний: разрешать лазить только пользователям дерева, но как только включаю аутентификацию -- :cry: все конец --
"Вы неаутентифицированны и никуда я вас не пущу"

СообщениеДобавлено: 03 фев 2004, 18:11
Андрей Троценко
Уточните Ваши настройки BM-сервера, связанные с authentication.

СообщениеДобавлено: 03 фев 2004, 18:44
Vershkov_AV
На сервере: BorderManager Setup -> Authentication Context ->
закладка Authentication -- стоят галки Enable HTTP Proxy A... и Single Sign On.

СообщениеДобавлено: 03 фев 2004, 19:40
Андрей Троценко
Т.е. Вы используете CLNTRUST ?

СообщениеДобавлено: 03 фев 2004, 21:43
Vershkov_AV
С CLNTRUST происходит следующее:
если имя пользователя по-английски, то все нормально -- правила отрабатываются
Если же по-русски:
"Доступ закрыт, так как Вы не зарегистрировались в сети"

СообщениеДобавлено: 03 фев 2004, 21:49
Vershkov_AV
Уточнение в догонку:
При этом (пока Бордюр думает) счетчик успешных запросов в
CLNTRUST бежит со страшной скоростью достигая 2000-2500 за попытку. С английским именем запрос только 1.

СообщениеДобавлено: 04 фев 2004, 10:50
Иван Левшин aka Ivan L.
А бордюр в принципе русского языка не любит :( Не знаю, как индусы пишут - но при попытке поставить БМ3.6ЕЕ на русский сервер 5.1 получаем критическую ошибку с вероятностью 100%. Так что от русских имен в дереве придется отказаться :) Либо через алиасы...

СообщениеДобавлено: 04 фев 2004, 11:31
Мещеряков Андрей
Думаю, что не получится и через алиасы :) Примитивом, которым существляется руление правами, все равно является пользователь . Все остальные обекты - группы, контейнеры - просто родительские, служат aclcheck для создания конкретных списков тех же пользователей, который и обрабатывает прокси. Считать ли это нормальным использованием NDS?..

СообщениеДобавлено: 04 фев 2004, 14:32
Андрей Троценко
Все верно - у меня именно так оно и выглядело (с CLNTRUST). Все же подумайте о переименовании объектов, если хотите управлять доступом основываясь на логинах а не адресах.