Страница 1 из 1

bm 3.5 и aclcheck

СообщениеДобавлено: 03 апр 2004, 16:52
stas
существует несколько организаций каждой соответсвует свой контекст

в каждом контексте есть группа пользователей инета, которая прописана в правилах бордюра, который стоит на сервере в отдельном контексте

при добавлении/удалении пользователя в группу необходимо чтобы aclcheck.nlm схватил эти изменения

установка админовских прав на контекст с бордюром не подоходит
пытался перловским скриптом через веб перезапускать проксю - но это долго, особенно при большом кеше

подскажите как удаленно, желательно с минимальными правами, рестартить aclcheck.nlm

СообщениеДобавлено: 03 апр 2004, 23:24
Мещеряков Андрей
Либо с удаленной консоли, либо.. подождать сутки :), пока он сам не обновит правила. Ничего в голову более не приходит.

1раз/час - это редко ?

СообщениеДобавлено: 04 апр 2004, 19:41
Андрей Троценко
http://support.novell.com/cgi-bin/searc ... 960035.htm

...
3.1.4 Runtime Switches For ACLCHECK.NLM
...
/Bxxx - enables you to define how often ACLCHECK tests for
changes in user group membership. (User groups can be used
in creating BorderManager Access Control Rules.) By
default, ACLCHECK user groups every hour and will re-read
the rules if a change is detected. You may only want
ACLCHECK to do this every few hours to reduce the number of
times per day that the rules are re-read. When using this
switch, replace the * with an integer starting with
0. This is the number of hours ACLCHECK will wait before
testing for group membership changes. For example, using
"/B0" disables ACLCHECK's regular testing for group
membership changes and "/B24" will cause it to test group
membership and reread the rules only once per day (every 24
hours).


Т.е., членство груп, по умолчанию, перечитывается 1раз/час. И это - минимум.

А отгрузить ACLCHECK без отгруза PROXY - не выйдет.

СообщениеДобавлено: 05 апр 2004, 06:27
stas
то что раз в час я знаю ... это жутко долго
отгружать прокси и загружать снова - тоже долго - кэш большой

только ведь когда в nwadmin жмешь "refresh server" - aclcheck каким то макаром перечитывает правила без перезагрузки proxy, следовательно его можно рестартить. вот только как? может ключики у него есть? или какое свойство в дереве мняется?

А чем RefreshServer не устраивает ?

СообщениеДобавлено: 05 апр 2004, 15:24
Андрей Троценко
stas писал(а):только ведь когда в nwadmin жмешь "refresh server" - aclcheck каким то макаром перечитывает правила без перезагрузки proxy, следовательно его можно рестартить. вот только как?


Когда Вы нажимаете RefreshServer, NWAdmin шлет команду перечитать раздел конфигурации соотв. компоненты BM (в данном случае - ACLCHECK) на NCP-расширение "BORDER_ADMIN" задействованных серверов. Но ни форматы пакетов, ни какого-либо API Novell не публиковал.

САБЖ.

не устраивает

СообщениеДобавлено: 05 апр 2004, 17:07
stas
не устраивает он тем что доступ к нему имеет один человек
а добавлять пользователей к инету могут несколько, тоесть в каждом контексте (организации) есть свой маленький админ который этим и занимается ...
причем делать это желательно оперативно - добавил пользователя - он поработал, убрал - все нет инета
права на консоль или на сервер этим админам просто нельзя давать

подвожу итоги:
1) - 1 раз в час обновление по умолчанию - долго
2) - дать права народу на консоль или сервер - недопустимо
3) - перловский скрипт через веб - к сожалению тоже долго

может еще будут варианты?

СообщениеДобавлено: 07 апр 2004, 10:25
Павел Орлов aka XerX
А как на счет дать этим админам права ТОЛЬКО НА НАЖАТИЕ КНОПОЧКИ в NWAdmine? Теоретически это должно быть возможно - т.к. это просто некая запись в дереве.... соотв. можно определенным людям можно дать права ее менять....

СообщениеДобавлено: 07 апр 2004, 10:43
stas
я бы с удовльствием но как?
пытался отыскать это свойство методом перебора - не нашел...
в доках тоже как-то пустовато...
может кто знает?