Проблемы с аутентификацией в BorderManager

Обсуждение технических вопросов по продуктам Novell

Проблемы с аутентификацией в BorderManager

Сообщение Vershkov_AV » 02 фев 2004, 20:22

He-e-e-l-p!
Кто-нибудь знает как можно заставить Бордер пускать пользователей в интернет поправилам в дурном дереве?!
Исходная информация:
NetWare 5.1, sp6;
BorderManager 3.5, sp3;
в дереве (к сожалению создавалось не мной) существуют контейнеры (часть) и пользователи (почти все) имеют РУССКИЕ имена,
:evil: типа Пупкин_Вася.Склад.Moscow.Org_Name

Вопрос:
Как таки сделать так, чтобы Бордер Васю Пупкина не пускал никуда,
Марь Иванну - бухгалтера пускать в InLine.ru, а на порнуху не пускать, а Николая Ивановича - ген.директора пускать везде.
Предложения принимаются любые, кроме
- смены имен контейнеров и пользователей (с этим предложением я уже выходил -- добро получено не было);
- раздачи Инета по IP-адресам.

Заранее спасибо,
--- Такая умная мысль могла прийти только в голову --- (с) не помню чей.
Vershkov_AV
 
Сообщения: 33
Зарегистрирован: 01 июл 2002, 15:49
Откуда: Москва, ЦТО МинФин'а

Сообщение Иван Левшин aka Ivan L. » 02 фев 2004, 20:49

А доступ по НДС имени не пробовал? Access Rules прописываешь на уровне сервера либо объекта O. И там - ручками вбиваем в правило тех, кому можно куда ходить. Запрещающие правила выше помещаешь. Тем, кому можно все - помещаешь выше запрещающих. В чем сложности? Или ты вообще бордюр никогда не настраивал?

Я по группам народ разбил - в соответствии с уровнем доступа. Перемещаем товарищей из группы в группу - и все. Правда, у меня русских имен в деревер нету
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Увы...

Сообщение Андрей Троценко » 02 фев 2004, 20:57

Это была одна из причин, по которой я отказался от русских наименований объектов в дереве - BM не выпускал :D

Как одно из решений "малой кровью" - переименовываете объект в латиницу, и создаете псевдоним (по-русски) - для пользователей это изменение будет прозрачно, а для вас - бордер будет работать.

Да, наименования контейнеров - туда же !

Успехов.
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Про группы

Сообщение Vershkov_AV » 02 фев 2004, 21:09

Дык в том-то (в русских именах) и дело, я тоже думал раскидать по трем-четырем группам: группе1 только туда,
группе2 всюду кроме,
группе3 везде.

Не работает.
ACLCHECK.NLM подумал-подумал и выдал:
An NDS API (NWDSRead-ReadAcl) returned error -741,
про которую написано:
741 FFFFFD1B NAME TYPE NOT SUPPORTED
Source: eDirectory or NDS

Explanation: An application attempted to use a name type that was not supported by the eDirectory or NDS API.

Possible Cause: The application you are running encountered a programming error.

Action: Contact the developer of the application.


Вот такие пирожки,
--- Такая умная мысль могла прийти только в голову --- (с) не помню чей.
Vershkov_AV
 
Сообщения: 33
Зарегистрирован: 01 июл 2002, 15:49
Откуда: Москва, ЦТО МинФин'а

Вдогонку

Сообщение Vershkov_AV » 02 фев 2004, 21:13

to Андрей Троценко
Имена групп были естественно по-английски и находились в том-самом Moscow.Ogr_Name где тоже все по английски.
--- Такая умная мысль могла прийти только в голову --- (с) не помню чей.
Vershkov_AV
 
Сообщения: 33
Зарегистрирован: 01 июл 2002, 15:49
Откуда: Москва, ЦТО МинФин'а

Сообщение Андрей Троценко » 03 фев 2004, 12:32

А для целого контейнера - работает ?
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Сообщение Vershkov_AV » 03 фев 2004, 17:26

Я проверял для сервера. А на контейнер у меня стоит только на самый верхний: разрешать лазить только пользователям дерева, но как только включаю аутентификацию -- :cry: все конец --
"Вы неаутентифицированны и никуда я вас не пущу"
--- Такая умная мысль могла прийти только в голову --- (с) не помню чей.
Vershkov_AV
 
Сообщения: 33
Зарегистрирован: 01 июл 2002, 15:49
Откуда: Москва, ЦТО МинФин'а

Сообщение Андрей Троценко » 03 фев 2004, 18:11

Уточните Ваши настройки BM-сервера, связанные с authentication.
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Сообщение Vershkov_AV » 03 фев 2004, 18:44

На сервере: BorderManager Setup -> Authentication Context ->
закладка Authentication -- стоят галки Enable HTTP Proxy A... и Single Sign On.
--- Такая умная мысль могла прийти только в голову --- (с) не помню чей.
Vershkov_AV
 
Сообщения: 33
Зарегистрирован: 01 июл 2002, 15:49
Откуда: Москва, ЦТО МинФин'а

Сообщение Андрей Троценко » 03 фев 2004, 19:40

Т.е. Вы используете CLNTRUST ?
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Сообщение Vershkov_AV » 03 фев 2004, 21:43

С CLNTRUST происходит следующее:
если имя пользователя по-английски, то все нормально -- правила отрабатываются
Если же по-русски:
"Доступ закрыт, так как Вы не зарегистрировались в сети"
--- Такая умная мысль могла прийти только в голову --- (с) не помню чей.
Vershkov_AV
 
Сообщения: 33
Зарегистрирован: 01 июл 2002, 15:49
Откуда: Москва, ЦТО МинФин'а

Сообщение Vershkov_AV » 03 фев 2004, 21:49

Уточнение в догонку:
При этом (пока Бордюр думает) счетчик успешных запросов в
CLNTRUST бежит со страшной скоростью достигая 2000-2500 за попытку. С английским именем запрос только 1.
--- Такая умная мысль могла прийти только в голову --- (с) не помню чей.
Vershkov_AV
 
Сообщения: 33
Зарегистрирован: 01 июл 2002, 15:49
Откуда: Москва, ЦТО МинФин'а

Сообщение Иван Левшин aka Ivan L. » 04 фев 2004, 10:50

А бордюр в принципе русского языка не любит :( Не знаю, как индусы пишут - но при попытке поставить БМ3.6ЕЕ на русский сервер 5.1 получаем критическую ошибку с вероятностью 100%. Так что от русских имен в дереве придется отказаться :) Либо через алиасы...
Иван Левшин aka Ivan L.
 
Сообщения: 2576
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Мещеряков Андрей » 04 фев 2004, 11:31

Думаю, что не получится и через алиасы :) Примитивом, которым существляется руление правами, все равно является пользователь . Все остальные обекты - группы, контейнеры - просто родительские, служат aclcheck для создания конкретных списков тех же пользователей, который и обрабатывает прокси. Считать ли это нормальным использованием NDS?..
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Андрей Троценко » 04 фев 2004, 14:32

Все верно - у меня именно так оно и выглядело (с CLNTRUST). Все же подумайте о переименовании объектов, если хотите управлять доступом основываясь на логинах а не адресах.
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 46

cron