NBM - User vs HOST IP. And user authentification.

Обсуждение технических вопросов по продуктам Novell

NBM - User vs HOST IP. And user authentification.

Сообщение Larico » 16 июн 2004, 16:51

Продолжаю внедрять BM 3.8.
По проксе 2 вопроса:
1. В статистика у меня отображается по ИП адресу машины, а хочется по пользователю. Так и должно быть или я что-то не так сделал?
2. По аутентификации в проксе:
Сейчас на закладке "Novell BorderManager Setup" стоит галка "Enforce AccessRules".
Кнопка "Enable HTTP Proxy Authentication" на вкладке "Authentication" не включена.
Если я её включу, то пользователь будет вынужден каждый раз логинится? Или будет браться его аккаунт из НовельКлиента?
Прокся включена обычная - Application Proxy-HTTP Proxy.

Попробую объяснить заново:
Хочется что бы пользователь работал не замечая наличия прокси, но при этом аутентифицировался в проксе как юзер из дерева.

Мне кажется что вопросы взаимосвязаны. Что скажете?
CNA 6 Certified;
Salesperson 2004
Аватара пользователя
Larico
 
Сообщения: 974
Зарегистрирован: 13 май 2003, 13:57
Откуда: Матрице все равно .....

Re: NBM - User vs HOST IP. And user authentification.

Сообщение alexp_mac » 16 июн 2004, 17:05

1. В статистика у меня отображается по ИП адресу машины, а хочется по пользователю. Так и должно быть или я что-то не так сделал?


А какое логирование включено? Их там аж три вида, надо выбрать.

2. По аутентификации в проксе:
Сейчас на закладке "Novell BorderManager Setup" стоит галка "Enforce AccessRules".
Кнопка "Enable HTTP Proxy Authentication" на вкладке "Authentication" не включена.

Включить и выбрать вид авторизации по sso (тогда clntrust нужен) или через браузер с вводом логина пароля.

Если я её включу, то пользователь будет вынужден каждый раз логинится? Или будет браться его аккаунт из НовельКлиента?

Логинится (если через форму) понадобится при доступе через проксю.

Попробую объяснить заново:
Хочется что бы пользователь работал не замечая наличия прокси, но при этом аутентифицировался в проксе как юзер из дерева.

Мне кажется что вопросы взаимосвязаны. Что скажете?[/quote]
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Сообщение Larico » 16 июн 2004, 17:42

Спасибо Алексей.
Таким образом: Если стоит галочка "SSO Auth", то запроса на вход при запущенном clntrust не будет. ДА?!
Если стоит галочка "SSL Auth", то запрос будет (в виде формы) при отсутствии сертификата? А куда кстати этот сертификат класть???

Логирование включено всё (3 галочки стоят и правильные диски\пути прописаны). Логи там есть.
Да, как только включил clntrust + SSO - в логах появились пользователи вместо ИП-адресов.

Еще: у меня сейчас не отрабатываются запреты для конкретных пользователей. Видимо по той же причине (вход по ИП). Буду думать.
CNA 6 Certified;
Salesperson 2004
Аватара пользователя
Larico
 
Сообщения: 974
Зарегистрирован: 13 май 2003, 13:57
Откуда: Матрице все равно .....

Сообщение Мещеряков Андрей » 17 июн 2004, 09:37

Сертификат в дереве создается.. В корне дерева есть особый контейнер с иконкой в виде замка, там должна быть сертифицирующая организация, опекающая данное дерево.. А она выдает материал ключа в контейнере с сервером.. Кстати, с этой секретностью у Novell неувязочка получается 8) .В руководстве по обновлению DS почему-то сказано, что PKI, SAS и прочие умные вещи поддерживаются у них начиная с 5.0 А ведь все это уже было в ВМ3.5 :? который ставился на 4.х Причем никаких апдейтов на эти сервера сертификатов (1.0, если не ошибаюсь, а обновлять надо до 2.0) я не нашел. Как дерево с DS 6.17 поднять до eDIR 8.6.2 , что бы работала вся секретная машинерия? Может кто-то делал?
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение alexp_mac » 17 июн 2004, 09:41

Таким образом: Если стоит галочка "SSO Auth", то запроса на вход при запущенном clntrust не будет. ДА?!

Да.

Если стоит галочка "SSL Auth", то запрос будет (в виде формы) при отсутствии сертификата? А куда кстати этот сертификат класть???

А он вроде как в контексте сервера должон быть создан, и выбрать его из спика можно, обычно SSL CErtificateDNS или IP.


Логирование включено всё (3 галочки стоят и правильные диски\пути прописаны). Логи там есть.
Да, как только включил clntrust + SSO - в логах появились пользователи вместо ИП-адресов.

Оно и понятно, ip есть всегда, а соответствие ip-имя пользователя берется через авторизацию через nds через clntrust.

Еще: у меня сейчас не отрабатываются запреты для конкретных пользователей. Видимо по той же причине (вход по ИП). Буду думать.

А что думать: надо заставить всех авторизоваться по-любому, тогда будет имя пользователя.
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 57

cron