Страница 4 из 6

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 09 фев 2012, 08:16
Dimerson
никто больше не потестил суперлюмин ?

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 09 фев 2012, 10:37
Ковалев Артем
Dimerson писал(а):никто больше не потестил суперлюмин ?

У меня (как, думаю, у большинства) - бордюр. От добра бобра не ищут ;)

Летом будет нефиг делать - попробую.

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 09 фев 2012, 15:59
capricious
Superlumin к радиусу никто не прикручивал ?

прикрутил к Radiator , предварительно настроив радиус брать юзеров из ldap (VAsco + Universal password :) ) а неработает

причем radpwtst с этим юзером проходит на ура - тоесть в логах радиуса все зашибись

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 09 фев 2012, 16:27
Dimerson
думаю надо глядеть slnpolicy log включив logging в св-вах Authentication condition

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 09 фев 2012, 16:57
capricious
Dimerson писал(а):думаю надо глядеть slnpolicy log включив logging в св-вах Authentication condition



я чего то не включил для логирования или это все ?

2012-02-09T16:53:24+03:00 dsfw PING edward [192.168.22.39] status FAILURE profile 0002

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 09 фев 2012, 17:22
Dimerson
По делу надо бы отладку включить - чтоб сыпало в slnpolicydebug а вот как фиг знает :( Надо б саппорт пнуть. У них как ни как russian week. Поснифать мож что там летает на радис и обратно ...

ntlm можно с dsfw попробовать для тесту пока ...

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 09 фев 2012, 17:43
Андрей Добров
skoltogyan писал(а):
Андрей Добров писал(а):
Dimerson писал(а):...
9. Стабильность и качество - это присутствует. Или так поделка для SQUID.
..


а чем squid не подошел ?


Небольшой спич, а том где, с кем и почему

Замену бордюру ищу целенаправлено и долго. Чтоб было - АХ! И безумный денег не требует, и функционал на уровне и с eDirectory дружит.

И так с чем имел дел
1. IronPort (аля Cisco). Работает, хорош, но денег ..... не мерено
2. CyanNetworks. Работает на любой платформе. Относительно дешев. Аутентификация - LDAP. Ну и ещё несколько видов аутентификации под винду. Заявили что дружит в версии 2 с терминальными пользователями. Но версия 2, пока только под винду и debian. Чем-то напоминает СуперБубен.
3. SurfControl WEB Filter VS под Linux. Проект закрыт. Для пробы дали господа из русского представительства SurfControl. В продаже нет. Работает только SuSE 9.x. На 10 и выше не устанавливается. Дружит с eDirectory через оригинальный агент для NetWare. По десятибалльной шкале можно дать 8.
4. Websense - монстр поглотивший с SurfControl. Всё на JAVA. Софт дается только в аренду на 1 год. Ну очень всё такое .... Чётко отслеживает пользователей, точнее IP.
5. StoneGate - это не просто монстр. Уж и не знаю сколько у них денег ушло в России они заплатили на взятки, но при словах 152 ФЗ - тут же предлагает любой консалтинг именно этот софт. Стоит как самолёт. Летает как этажерка. Настолько запутанного лицензирования как у них давно не видел. За любой чих - деньги. И не малые. Да, сделать на этой софтине много. Но по мне, так уж лучше смотреть в сторону IronPort.
6. Astaro - шаг от версии 5.1 что предлагал Novell до 8.х большой и качественный. В 2011 умудрились пройти сертификацию по требованиям к 152 ФЗ. К AD и eDirectory коннектиться по LDAP. Можно сказать один из клонов СуперБубна, CyanNetworks и аналогичные. Лицензии не бумажные. Одна из проблем и давно держится и не могут рещить - это "залипание" IP. Т.е. пользователь уже не в сети, а лицензия за ним ещё числиться. Имеются решения в железе - приемленные цены и без учёта тех кто хочет выйти в инет.
7. FortiGate - железо и не только от FortGate. Пользователи отслеживаются через собственного агента. На сегодняшний день наиболее приемлемо по цене и качеству. Есть много и много вопросов к этой железке. Пробую решать. Но есть такие засады, даже и не знаю как это у них это придумано. Для информации - президент FortiNet, был президентом ArcServe. Забавно.
8. СуперБубун - начинаю только смотреть. То что было год назад в виде iProxy - качественно лучше.
9. Оригинальный SQUID + .... Нестабильность в плане аутентификации и не прозрачная переносимость на другое железо. В процессе ..... рассмотрения.

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 09 фев 2012, 17:47
Dimerson
Для информации - президент FortiNet, был президентом ArcServe.
До CA Arcserve выпускала Cheyenne .

По сквиду .... никто не мешает допилить до ума SquidTrust ... добавить шифрование м-у SquidTrust.exe и .pl + гуй для администрилова - и будет еще 1 мегабубен.
А по супербубну что могу сказать - то за что ругали BM (авторизация по IP - то есть с терминалкой все в разы сложнее или если через нат ходим то ходит весь аул ), там как раз включаема опционально. Упор на использование Cookie. И если у SSO можно сказать Do Not Use Cookie + IP Override cookie, и при этом на компе который был аутентифицирован, по IP будут работать не только браузеры понимающие куки но и любые другие аппликухи вроде Google Earth или какие-нибудь апдейтеры по HTTP через проксю то при FormLogin все чуть по другому. Завтра попробую допинать схему "если не SSO тогда FormLogin" (разнесу SSO и FormLogin по разным рулам не смешивая в одно - тут как-то все непросто).

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 09 фев 2012, 17:52
capricious
все настроил
всем спасибо :))

(оказалось надо было еще один listener на радиусе включить)

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 09 фев 2012, 17:59
Dimerson
capricious писал(а):все настроил
всем спасибо :))

(оказалось надо было еще один listener на радиусе включить)


никак бубен завелсо ? :)))

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 09 фев 2012, 18:08
capricious
он завелся сразу по лдап, но мне нужно было пускать юзеров с ключами и юниверсальным паролем и без ндс пароля. Steve из суперлюмина сказал что радиус тока спасет.
Нашел Radiator который работает под всем и со всем :)

вот скрестил наконец то :)

теперь надо на squid попробовать завести радиус хелпер и гуд бай суперлюмин

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 10 фев 2012, 08:51
Dimerson
Пока вот обнаружил для себя один досадный ФИЧ суперлюмина. В раздумиях. Поговорю с саппортом.

Суть в чем. Настроен SSO. Как я говорил - основа авторизации - Cookie. Если работаю через SSO то браузеры воркают наура. Windows Update агент - юзающий BITS тожа понимайт Coookie. Траблы начинаются у апдейтеров и прочего что ходят через проксю но не могут Куки. Примеры: апдейтер касперыча, апдейтер дубльгиса и прочее - имя им легион.

Делаю что - четко по доке : для eDir SSO Authenticate Configuration

No cookies = ON
IP overrides cookie = ON

Причем даже не активирую FormLogin.

Что происходит - если есть активный SSO все работает наура. Но если к примеру в SSO нет credentials или он не запущен то несмотря на отсутствие кондишена для FormLogin вылазит SSO FailBack в виде форм логина. Вне зависимости от его настроек (или если форм логин совсем не настроен) и если я прогогинился в форму (ldap contextless logibn то есть user+passwd) и меня пустило и если No cookies = ON и IP overrides cookie = ON в св-вах SSO, то этот прологиненый через форму комп будет пускать всегда до ребута прокси. Выключили комп, включили через 2 дня а его молча пускает как юзера залогиненного через форму.

Вариант: юзать только куки и весь софт не умеющий куки пускать через разрешающий ексепшен по IP юзера и URI host целевого хоста - рула выше аутентифицирующей (срабатывает раньше) или например ставить микропрокси на 127.0.0.1 на станции с редиректом на супрлюмин понимающий куки.

Мне это не нравится тк это нарушает всю идеологию и в логах я вижу не юзера :

1.2.2.3 - cn=user,o=context,o=tree "что-то там по HTTP" байты статус

а только:

1.2.2.3 - - байты статус

Если сделаю эксепшен.

Посему вопрос "Куды бечь" все еще актуален. С вниманием читаю пост от Андея Доброва об альтернативах или как жить дальше .. :)

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 10 фев 2012, 13:28
Иван Иванов
Dimerson писал(а):Посему вопрос "Куды бечь" все еще актуален. С вниманием читаю пост от Андея Доброва об альтернативах или как жить дальше .. :)

Forefront TMG как по мне сильно дешевле всяких супербубнов. Платить по 60$ за юзверя за недопиленный продукт жалко. Или бесплатный сквид или отлаженная ИСА.

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 11 фев 2012, 17:50
Dimerson
Про недопиленность согласен. Отговорки что мол такой недо-статик нат это особенности SuSE firewall вообще смех.

1. берем sles11 + sdk. ставим разработку + libxslt2-dev + libxml2-dev + qt4-dev (тянет кучу всего из sdk).
2. собираем fwbuilder 5.0.1 последний из сырцов.
3. chkconfig SuSE_firewall2 off вместо него fwbuilder в запуск. lsb скрипт пишется за 15 минут.
4. делаем статик нат в красивых гуях fwbuilder - Все замечательно грузится и работает = оченно красивый статик нат. даже без игры с /usr/sbin/iptables.
со statefull по умолчанию это в мало-мало правил получается. По желанию гуй для венды чтоб с венды правила править и заливать на sles по ssh мона за немного $ и прикупить .

ну и squid + squidtrust.

Не хочется бечь в ISу :(

бесплатная альтенатива SuperLumin и BM в режиме firewall+proxy.

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 13 фев 2012, 00:02
skoltogyan
Шо означает: "что мол такой недо-статик нат это особенности SuSE firewall вообще смех." - что имеется ввиду под "недо-статик нат" ?

Второе - "squid + squidtrust." squidtrast - это что за зверь ?

Третье - "Или бесплатный сквид или отлаженная ИСА." повторю ранее задававшийся вопрос - чем плох squid ?

Четвертое - про GUI+винда+править правила = это про какую именно проблему описывают ?