решил поиграться с суперлюимином

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 09 фев 2012, 08:16

никто больше не потестил суперлюмин ?
Аватара пользователя
Dimerson
 
Сообщения: 2760
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Ковалев Артем » 09 фев 2012, 10:37

Dimerson писал(а):никто больше не потестил суперлюмин ?

У меня (как, думаю, у большинства) - бордюр. От добра бобра не ищут ;)

Летом будет нефиг делать - попробую.
берем картину мироздания и тупо смотрим - что к чему...
Аватара пользователя
Ковалев Артем
 
Сообщения: 916
Зарегистрирован: 29 мар 2004, 11:44
Откуда: Москва

Re: решил поиграться с суперлюимином

Сообщение capricious » 09 фев 2012, 15:59

Superlumin к радиусу никто не прикручивал ?

прикрутил к Radiator , предварительно настроив радиус брать юзеров из ldap (VAsco + Universal password :) ) а неработает

причем radpwtst с этим юзером проходит на ура - тоесть в логах радиуса все зашибись
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 09 фев 2012, 16:27

думаю надо глядеть slnpolicy log включив logging в св-вах Authentication condition
Аватара пользователя
Dimerson
 
Сообщения: 2760
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение capricious » 09 фев 2012, 16:57

Dimerson писал(а):думаю надо глядеть slnpolicy log включив logging в св-вах Authentication condition



я чего то не включил для логирования или это все ?

2012-02-09T16:53:24+03:00 dsfw PING edward [192.168.22.39] status FAILURE profile 0002
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 09 фев 2012, 17:22

По делу надо бы отладку включить - чтоб сыпало в slnpolicydebug а вот как фиг знает :( Надо б саппорт пнуть. У них как ни как russian week. Поснифать мож что там летает на радис и обратно ...

ntlm можно с dsfw попробовать для тесту пока ...
Аватара пользователя
Dimerson
 
Сообщения: 2760
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Андрей Добров » 09 фев 2012, 17:43

skoltogyan писал(а):
Андрей Добров писал(а):
Dimerson писал(а):...
9. Стабильность и качество - это присутствует. Или так поделка для SQUID.
..


а чем squid не подошел ?


Небольшой спич, а том где, с кем и почему

Замену бордюру ищу целенаправлено и долго. Чтоб было - АХ! И безумный денег не требует, и функционал на уровне и с eDirectory дружит.

И так с чем имел дел
1. IronPort (аля Cisco). Работает, хорош, но денег ..... не мерено
2. CyanNetworks. Работает на любой платформе. Относительно дешев. Аутентификация - LDAP. Ну и ещё несколько видов аутентификации под винду. Заявили что дружит в версии 2 с терминальными пользователями. Но версия 2, пока только под винду и debian. Чем-то напоминает СуперБубен.
3. SurfControl WEB Filter VS под Linux. Проект закрыт. Для пробы дали господа из русского представительства SurfControl. В продаже нет. Работает только SuSE 9.x. На 10 и выше не устанавливается. Дружит с eDirectory через оригинальный агент для NetWare. По десятибалльной шкале можно дать 8.
4. Websense - монстр поглотивший с SurfControl. Всё на JAVA. Софт дается только в аренду на 1 год. Ну очень всё такое .... Чётко отслеживает пользователей, точнее IP.
5. StoneGate - это не просто монстр. Уж и не знаю сколько у них денег ушло в России они заплатили на взятки, но при словах 152 ФЗ - тут же предлагает любой консалтинг именно этот софт. Стоит как самолёт. Летает как этажерка. Настолько запутанного лицензирования как у них давно не видел. За любой чих - деньги. И не малые. Да, сделать на этой софтине много. Но по мне, так уж лучше смотреть в сторону IronPort.
6. Astaro - шаг от версии 5.1 что предлагал Novell до 8.х большой и качественный. В 2011 умудрились пройти сертификацию по требованиям к 152 ФЗ. К AD и eDirectory коннектиться по LDAP. Можно сказать один из клонов СуперБубна, CyanNetworks и аналогичные. Лицензии не бумажные. Одна из проблем и давно держится и не могут рещить - это "залипание" IP. Т.е. пользователь уже не в сети, а лицензия за ним ещё числиться. Имеются решения в железе - приемленные цены и без учёта тех кто хочет выйти в инет.
7. FortiGate - железо и не только от FortGate. Пользователи отслеживаются через собственного агента. На сегодняшний день наиболее приемлемо по цене и качеству. Есть много и много вопросов к этой железке. Пробую решать. Но есть такие засады, даже и не знаю как это у них это придумано. Для информации - президент FortiNet, был президентом ArcServe. Забавно.
8. СуперБубун - начинаю только смотреть. То что было год назад в виде iProxy - качественно лучше.
9. Оригинальный SQUID + .... Нестабильность в плане аутентификации и не прозрачная переносимость на другое железо. В процессе ..... рассмотрения.
Андрей Добров
 
Сообщения: 223
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 09 фев 2012, 17:47

Для информации - президент FortiNet, был президентом ArcServe.
До CA Arcserve выпускала Cheyenne .

По сквиду .... никто не мешает допилить до ума SquidTrust ... добавить шифрование м-у SquidTrust.exe и .pl + гуй для администрилова - и будет еще 1 мегабубен.
А по супербубну что могу сказать - то за что ругали BM (авторизация по IP - то есть с терминалкой все в разы сложнее или если через нат ходим то ходит весь аул ), там как раз включаема опционально. Упор на использование Cookie. И если у SSO можно сказать Do Not Use Cookie + IP Override cookie, и при этом на компе который был аутентифицирован, по IP будут работать не только браузеры понимающие куки но и любые другие аппликухи вроде Google Earth или какие-нибудь апдейтеры по HTTP через проксю то при FormLogin все чуть по другому. Завтра попробую допинать схему "если не SSO тогда FormLogin" (разнесу SSO и FormLogin по разным рулам не смешивая в одно - тут как-то все непросто).
Последний раз редактировалось Dimerson 09 фев 2012, 17:58, всего редактировалось 1 раз.
Аватара пользователя
Dimerson
 
Сообщения: 2760
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение capricious » 09 фев 2012, 17:52

все настроил
всем спасибо :))

(оказалось надо было еще один listener на радиусе включить)
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 09 фев 2012, 17:59

capricious писал(а):все настроил
всем спасибо :))

(оказалось надо было еще один listener на радиусе включить)


никак бубен завелсо ? :)))
Аватара пользователя
Dimerson
 
Сообщения: 2760
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение capricious » 09 фев 2012, 18:08

он завелся сразу по лдап, но мне нужно было пускать юзеров с ключами и юниверсальным паролем и без ндс пароля. Steve из суперлюмина сказал что радиус тока спасет.
Нашел Radiator который работает под всем и со всем :)

вот скрестил наконец то :)

теперь надо на squid попробовать завести радиус хелпер и гуд бай суперлюмин
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 10 фев 2012, 08:51

Пока вот обнаружил для себя один досадный ФИЧ суперлюмина. В раздумиях. Поговорю с саппортом.

Суть в чем. Настроен SSO. Как я говорил - основа авторизации - Cookie. Если работаю через SSO то браузеры воркают наура. Windows Update агент - юзающий BITS тожа понимайт Coookie. Траблы начинаются у апдейтеров и прочего что ходят через проксю но не могут Куки. Примеры: апдейтер касперыча, апдейтер дубльгиса и прочее - имя им легион.

Делаю что - четко по доке : для eDir SSO Authenticate Configuration

No cookies = ON
IP overrides cookie = ON

Причем даже не активирую FormLogin.

Что происходит - если есть активный SSO все работает наура. Но если к примеру в SSO нет credentials или он не запущен то несмотря на отсутствие кондишена для FormLogin вылазит SSO FailBack в виде форм логина. Вне зависимости от его настроек (или если форм логин совсем не настроен) и если я прогогинился в форму (ldap contextless logibn то есть user+passwd) и меня пустило и если No cookies = ON и IP overrides cookie = ON в св-вах SSO, то этот прологиненый через форму комп будет пускать всегда до ребута прокси. Выключили комп, включили через 2 дня а его молча пускает как юзера залогиненного через форму.

Вариант: юзать только куки и весь софт не умеющий куки пускать через разрешающий ексепшен по IP юзера и URI host целевого хоста - рула выше аутентифицирующей (срабатывает раньше) или например ставить микропрокси на 127.0.0.1 на станции с редиректом на супрлюмин понимающий куки.

Мне это не нравится тк это нарушает всю идеологию и в логах я вижу не юзера :

1.2.2.3 - cn=user,o=context,o=tree "что-то там по HTTP" байты статус

а только:

1.2.2.3 - - байты статус

Если сделаю эксепшен.

Посему вопрос "Куды бечь" все еще актуален. С вниманием читаю пост от Андея Доброва об альтернативах или как жить дальше .. :)
Аватара пользователя
Dimerson
 
Сообщения: 2760
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Иван Иванов » 10 фев 2012, 13:28

Dimerson писал(а):Посему вопрос "Куды бечь" все еще актуален. С вниманием читаю пост от Андея Доброва об альтернативах или как жить дальше .. :)

Forefront TMG как по мне сильно дешевле всяких супербубнов. Платить по 60$ за юзверя за недопиленный продукт жалко. Или бесплатный сквид или отлаженная ИСА.
Иван Иванов
 
Сообщения: 448
Зарегистрирован: 19 апр 2004, 14:02

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 11 фев 2012, 17:50

Про недопиленность согласен. Отговорки что мол такой недо-статик нат это особенности SuSE firewall вообще смех.

1. берем sles11 + sdk. ставим разработку + libxslt2-dev + libxml2-dev + qt4-dev (тянет кучу всего из sdk).
2. собираем fwbuilder 5.0.1 последний из сырцов.
3. chkconfig SuSE_firewall2 off вместо него fwbuilder в запуск. lsb скрипт пишется за 15 минут.
4. делаем статик нат в красивых гуях fwbuilder - Все замечательно грузится и работает = оченно красивый статик нат. даже без игры с /usr/sbin/iptables.
со statefull по умолчанию это в мало-мало правил получается. По желанию гуй для венды чтоб с венды правила править и заливать на sles по ssh мона за немного $ и прикупить .

ну и squid + squidtrust.

Не хочется бечь в ISу :(

бесплатная альтенатива SuperLumin и BM в режиме firewall+proxy.
Аватара пользователя
Dimerson
 
Сообщения: 2760
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение skoltogyan » 13 фев 2012, 00:02

Шо означает: "что мол такой недо-статик нат это особенности SuSE firewall вообще смех." - что имеется ввиду под "недо-статик нат" ?

Второе - "squid + squidtrust." squidtrast - это что за зверь ?

Третье - "Или бесплатный сквид или отлаженная ИСА." повторю ранее задававшийся вопрос - чем плох squid ?

Четвертое - про GUI+винда+править правила = это про какую именно проблему описывают ?
skoltogyan
 
Сообщения: 1917
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Пред.След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron