bm 3.5 и aclcheck

Обсуждение технических вопросов по продуктам Novell

bm 3.5 и aclcheck

Сообщение stas » 03 апр 2004, 16:52

существует несколько организаций каждой соответсвует свой контекст

в каждом контексте есть группа пользователей инета, которая прописана в правилах бордюра, который стоит на сервере в отдельном контексте

при добавлении/удалении пользователя в группу необходимо чтобы aclcheck.nlm схватил эти изменения

установка админовских прав на контекст с бордюром не подоходит
пытался перловским скриптом через веб перезапускать проксю - но это долго, особенно при большом кеше

подскажите как удаленно, желательно с минимальными правами, рестартить aclcheck.nlm
Аватара пользователя
stas
 
Сообщения: 133
Зарегистрирован: 23 июл 2003, 08:25
Откуда: Новосибирск

Сообщение Мещеряков Андрей » 03 апр 2004, 23:24

Либо с удаленной консоли, либо.. подождать сутки :), пока он сам не обновит правила. Ничего в голову более не приходит.
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

1раз/час - это редко ?

Сообщение Андрей Троценко » 04 апр 2004, 19:41

http://support.novell.com/cgi-bin/searc ... 960035.htm

...
3.1.4 Runtime Switches For ACLCHECK.NLM
...
/Bxxx - enables you to define how often ACLCHECK tests for
changes in user group membership. (User groups can be used
in creating BorderManager Access Control Rules.) By
default, ACLCHECK user groups every hour and will re-read
the rules if a change is detected. You may only want
ACLCHECK to do this every few hours to reduce the number of
times per day that the rules are re-read. When using this
switch, replace the * with an integer starting with
0. This is the number of hours ACLCHECK will wait before
testing for group membership changes. For example, using
"/B0" disables ACLCHECK's regular testing for group
membership changes and "/B24" will cause it to test group
membership and reread the rules only once per day (every 24
hours).


Т.е., членство груп, по умолчанию, перечитывается 1раз/час. И это - минимум.

А отгрузить ACLCHECK без отгруза PROXY - не выйдет.
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Сообщение stas » 05 апр 2004, 06:27

то что раз в час я знаю ... это жутко долго
отгружать прокси и загружать снова - тоже долго - кэш большой

только ведь когда в nwadmin жмешь "refresh server" - aclcheck каким то макаром перечитывает правила без перезагрузки proxy, следовательно его можно рестартить. вот только как? может ключики у него есть? или какое свойство в дереве мняется?
Аватара пользователя
stas
 
Сообщения: 133
Зарегистрирован: 23 июл 2003, 08:25
Откуда: Новосибирск

А чем RefreshServer не устраивает ?

Сообщение Андрей Троценко » 05 апр 2004, 15:24

stas писал(а):только ведь когда в nwadmin жмешь "refresh server" - aclcheck каким то макаром перечитывает правила без перезагрузки proxy, следовательно его можно рестартить. вот только как?


Когда Вы нажимаете RefreshServer, NWAdmin шлет команду перечитать раздел конфигурации соотв. компоненты BM (в данном случае - ACLCHECK) на NCP-расширение "BORDER_ADMIN" задействованных серверов. Но ни форматы пакетов, ни какого-либо API Novell не публиковал.

САБЖ.
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

не устраивает

Сообщение stas » 05 апр 2004, 17:07

не устраивает он тем что доступ к нему имеет один человек
а добавлять пользователей к инету могут несколько, тоесть в каждом контексте (организации) есть свой маленький админ который этим и занимается ...
причем делать это желательно оперативно - добавил пользователя - он поработал, убрал - все нет инета
права на консоль или на сервер этим админам просто нельзя давать

подвожу итоги:
1) - 1 раз в час обновление по умолчанию - долго
2) - дать права народу на консоль или сервер - недопустимо
3) - перловский скрипт через веб - к сожалению тоже долго

может еще будут варианты?
Аватара пользователя
stas
 
Сообщения: 133
Зарегистрирован: 23 июл 2003, 08:25
Откуда: Новосибирск

Сообщение Павел Орлов aka XerX » 07 апр 2004, 10:25

А как на счет дать этим админам права ТОЛЬКО НА НАЖАТИЕ КНОПОЧКИ в NWAdmine? Теоретически это должно быть возможно - т.к. это просто некая запись в дереве.... соотв. можно определенным людям можно дать права ее менять....
CNE 5, 6
Павел Орлов aka XerX
 
Сообщения: 284
Зарегистрирован: 26 июн 2002, 17:17
Откуда: Москва

Сообщение stas » 07 апр 2004, 10:43

я бы с удовльствием но как?
пытался отыскать это свойство методом перебора - не нашел...
в доках тоже как-то пустовато...
может кто знает?
Аватара пользователя
stas
 
Сообщения: 133
Зарегистрирован: 23 июл 2003, 08:25
Откуда: Новосибирск


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 62

cron