Bm38sp2 и 403 Forbidden

Обсуждение технических вопросов по продуктам Novell

Версия CLNTRUST

Сообщение Андрей Фисенко » 26 мар 2005, 10:08

Version 1.5 Novell Client Trust for Client 32 (4.00.100)
(c) Copyright 1998 by Novell Inc. All rights reserved.

С этой версией проблемы?
Андрей Фисенко, SUSE
[url=http://www.suse.com][/url]
Андрей Фисенко
 
Сообщения: 1309
Зарегистрирован: 05 июн 2002, 08:13
Откуда: Красноярск

Сообщение Константин Ошмян » 26 мар 2005, 18:09

Шамиль Лабазанов писал(а):Конечно запускаем именно в такой последовательности:
@dwntrust
@clntrust
Насколько я помню, первая команда всё же должна была быть через решётку:
Код: Выделить всё
#dwntrust
@clntrust
Т.е. вторая команда должна запускаться лишь после того, как завершится первая.
Аватара пользователя
Константин Ошмян
 
Сообщения: 986
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

Сообщение Мещеряков Андрей » 27 мар 2005, 21:52

Не, это глюк клиента, а не бордюра :), а может и масдая. У меня 3.5sp3+postfix - ну то же самое! И clntrust не менялся :) НО: на NT&'2000 clntrust отзывается после первого же раза, на XP - тужится разов до 50, потом что-та там внезапно рвется, и его успешно аутентифицируют :) но счетчик запросов в это время уже 45-50. win9x у меня практически не осталось, поэтому высказывание справедливо для 4.8sp3 и 4.9sp2+postfix. Мне тут высказывали гипотезу, что ХП для каждой 16-битной задачи (а тут именно такая) запускает свою в.машину... Вот так, видимо, эта задержка во времени и имеет место быть... Боремся очень просто - кнопица "обновить" и все тут. Больше никаких проблем, вне зависимости от времени.
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Lab » 28 мар 2005, 17:51

clntrust (кстати, как посмотреть его версию ?) из bm37fp4e , но он такой же и в более ранних сервис паках..

..непонятным образом, проблема почти рассосалась за выходные.. Единственное, правда, я сразу поменял @ на # для dwntrust
ПОхоже, что дело во всем по кусочку )

По крайней мере при моделировании ситуации за сегодня встретилась только раз..


Я все понимаю, но механизм SSO несколько странный.. Зачем дополнительно проверять пользователя уже зарегистрированного в дереве ? Dwntrust лишь выгружает прог-му из пямяти, а авторизация остается (правда, указанное настройками время) ? Смена логина, опять же не сразу отбирает/дает права (где то промелькало, что все -таки в авторизации участвует IP)


Будем тестировать дальше..

Кстати, в последних патчах на BM3.7 есть возможность запретить тунелирование HTTP (когда ответные серверы не на 80-м порту)
Если кто использует, то как он это для себя обосновывает ? Ведь много, в этом смысле, неправильных сайтов, когда часть данных берется с другого по другому порту ?
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Мещеряков Андрей » 28 мар 2005, 21:46

Шамиль Лабазанов писал(а): Смена логина, опять же не сразу отбирает/дает права (где то промелькало, что все -таки в авторизации участвует IP)

Там не IP... Там - МАС адрес пользователя. В противном случае эта штука не работала бы с IPX/IP Gateway :) A dwntrust и исполняется до clntrust, что бы исключить использование логина "по наследству". Как это было, например, в старых версиях IPX/IP Gateway (из NIAS 4.1) Там мудрый чел мог не перегружая Вынь запустить login из sys:login и лазить под именем своего предшественника - в винде-то он оставался залогиненным :)
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Lab » 29 мар 2005, 10:24

Мещеряков Андрей
Понятно.
Логин , тем не менее, используется по наследству, и dwntrust строго говоря, не разавторизует пользователя. Может это и сбило меня с толку в первое время..

Безусловная разавторизация выполняется через url
http://BM_IP_ADDR:1959/cmd/BM-Logout.htm
Это я так, к слову...
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Lab » 29 мар 2005, 10:31

Да, есть еще проблема :) Коль скоро в этой ветке идет обсуждение...

При просмотре статистики через nwadmin-BM_Server-Proxy-Cache Realtime Monitor без закономерности иногда подскакивает загрузка процессора сервера на 100% .. лечится только выгрузением и загрузкой proxy..
Есть идеи что посмотреть подкрутить ?

И последнее, чем вы пользуетесь для мониторинга пользователей в реальном времени... Что-то rtmonitor мне пока не очень нравится..
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Мещеряков Андрей » 29 мар 2005, 10:34

Шамиль Лабазанов писал(а):Логин , тем не менее, используется по наследству, и dwntrust строго говоря, не разавторизует пользователя.

А вот это замечено не было :? Или это особенность SSO именно старшей версии, либо просто плохо смотрел. Сейчас посмотрю еще раз... :idea:
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Мещеряков Андрей » 29 мар 2005, 10:44

Итак, все правильно :) Исполнение последовательности
#%file_server/sys:public\dwntrust
#%file_server/sys:public\clntrust
приводит, как ожидалось, к однозначной разрегистрации :o Обнуляется счетчик clntrust, и следующая персона снова проходит регистрацию. Причем, аутентифицирующим фактором, в отличие от раннего шлюза (см выше.) является не имя пользователя Вынь, а именно логин к серверу Novell (только что проверил). Причем станция не перегружалась (DNS динамическая и другого адреса ей все равно не даст) а просто менялся пользователь...
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Lab » 29 мар 2005, 11:29

Мещеряков Андрей
А попробуете сменить на пользователя у которого нет прав без запуска trust-ов (или просто запустить dwntrust для текущего поьзователя) и выйти в интернет ?
у меня наследуется :)

Андрей, что скажете насчет мониторинга ?
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Мещеряков Андрей » 29 мар 2005, 12:45

Сменить сменить на пользователя у которого нет прав без запуска trust-ов не могу :) , т.к. все процедуры регистрации эти строчки содержат - с этим расчетом и делалось. А выбрасывание clntrust у активного пользователя... позволяет продолжить его работу без авторизации :x ...Вот еще посмотрю настроечки...
По поводу мониторинга: плохо все до изумления :roll: Как и раньше :) могу отчитаться только за 60-40% трафика. Такое очень стойкое ощущение, что прокси анализирует трафик на основе цепочки внутренних своих событий, а не бинарного потока. И многим событиям у него просто нет соответствия, и они идут сквозь пальцы... УРЛы нередко не распознаются правильно, тогда рули вообще не работают :x Серьезно посматриваю в сторону сквида... В 3.7 вроде как научились считать трафик по https, будем переходить на нее по мере возможностей.
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Lab » 29 мар 2005, 13:13

Мещеряков Андрей
Да мониторинг статистики - черт с ней ( у нас провайдер хорошо считает :) )
Я имею в виду монитор подключений пользователй в реальном времени.. Кто в данный (!) момент скачивает пятью нитями какой-нить .iso :)
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Мещеряков Андрей » 29 мар 2005, 13:33

Шамиль Лабазанов писал(а):Мещеряков Андрей
Да мониторинг статистики - черт с ней ( у нас провайдер хорошо считает :) )
Я имею в виду монитор подключений пользователй в реальном времени.. Кто в данный (!) момент скачивает пятью нитями какой-нить .iso :)

Нет, таких прецедентов небыло :) Пользователи привязаны по адресам, так что.... Вообще, была какая-то условно-бесплатная задача для мониторинга в реальном масштабе времени, которая не работала. Потом ее автор сделал платной, и перенес в cool solutions. Вообще спецфичные люди писали Бордюр... И постановку задачи для него давно не обновляли :roll:
-Мониторинг пользователей в реальном времени делал как раз утративший актуальность компонент Бордера - шлюз IP. И делал ее на твердую "3". А без него - :lol:
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Пред.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8

cron