Bm38sp2 и 403 Forbidden

Обсуждение технических вопросов по продуктам Novell

Bm38sp2 и 403 Forbidden

Сообщение Boris Morozov » 03 авг 2004, 00:03

После установки Subj стало часто появляться это сообщение.
У меня включено и SSO и SSL. Но все работают через Clntrust по SSO.
По моему субъективному мнению это часто происходит, когда сидишь, читаешь странички какое-то время, потом жмешь мышкой и оно тут как тут. Устраняется повтором или Reloadом. Страсти, описанные на буржуйском форуме у меня как-то не наблюдаются. Потом минут пять опять все спокойно. Страничка с 403 выскакивает мгновенно, хотя стоит тайм-аут 6 сек. Такое подозрение, что Clntrust кидает неправильные данные, но почему повтором устраняется, фиг его знает.
Наблюдается это и на XP с клиентом 4.9SP2 и на 98 c клиентом 3.4.
Если у кого есть статистика наблюдений - давайте поможем Крэйгу Джонсону - он пытается с этим разобраться на буржуйском форуме.
У меня с английским слабовато, я только читать умею.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Re: Bm38sp2 и 403 Forbidden

Сообщение alexp_mac » 03 авг 2004, 09:32

Имеем тоже самое. Проявляется при последних версиях клиента (откатывать назад не пробовал - некогда), бордер 37 с последними патчами.
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Вообще-то у меня эти клиенты давно стоят,

Сообщение Boris Morozov » 03 авг 2004, 15:10

а глюк проявился после патчей на BM. Видимо аналогичный глюк и в 3.7 сделали.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Re: Вообще-то у меня эти клиенты давно стоят,

Сообщение alexp_mac » 03 авг 2004, 16:00

[quote="Boris Morozov"]а глюк проявился после патчей на BM. Видимо аналогичный глюк и в 3.7 сделали.[/quote]

А че голову ломать: вот оно
Defect 374400 open on this. Due to changes in the latest aclcheck, an abnormal number of collsions are occuring in the hash table (due to large number of rules), causing the 403 errors to be generated. The workaround for the time being is to
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Ага, сознались!

Сообщение Boris Morozov » 04 авг 2004, 15:51

Только интересно, у меня на уровне контейнера аж целых три правила, это много или мало?
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Re: Ага, сознались!

Сообщение alexp_mac » 04 авг 2004, 16:15

[quote="Boris Morozov"]Только интересно, у меня на уровне контейнера аж целых три правила, это много или мало?[/quote]


Нуууу.... три это ж целая куча, коллизий просто немеряно..... :)
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Сообщение Стогов Кирилл » 04 авг 2004, 17:05

А я думал, что только у нас такое на BM37 + все последние патчи.
Вылечилось элементарно.

На закладке authentication
Maximum idle time before req new logon
было 40 сек (по Крейгу), поставили
по default - 5 минут.
С тех пор никто не жаловался.

P.S. Я тоже грешил на rule
Стогов Кирилл
 
Сообщения: 368
Зарегистрирован: 10 июн 2002, 14:11
Откуда: СПб

Re: Bm38sp2 и 403 Forbidden

Сообщение alexp_mac » 19 авг 2004, 10:35

Последний патч на 37 все исправил.
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

А они туда старый Clntrust

Сообщение Boris Morozov » 20 авг 2004, 00:58

и по моему ACLCHECK положили. Вот оно и "исправилось".
А на 3.8 нету пока. Хотя где-то по тидам пробежало, что нужен clntrust 2004 года, о поиском такой не находится. Последний глючный за декабрь 2003. Будем ждать. Народ у меня пока привык.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Re: А они туда старый Clntrust

Сообщение alexp_mac » 20 авг 2004, 09:56

[quote="Boris Morozov"]и по моему ACLCHECK положили. Вот оно и "исправилось".
А на 3.8 нету пока. Хотя где-то по тидам пробежало, что нужен clntrust 2004 года, о поиском такой не находится. Последний глючный за декабрь 2003. Будем ждать. Народ у меня пока привык.[/quote]

А вроде для 38 очередная бета лежит, не пробовали?
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

О чем это Вы ?

Сообщение Андрей Троценко » 20 авг 2004, 12:11

Boris Morozov писал(а):...А на 3.8 нету пока. Хотя где-то по тидам пробежало, что нужен clntrust 2004 года, о поиском такой не находится. Последний глючный за декабрь 2003. Будем ждать. Народ у меня пока привык.


Народ, Вы о чем ? Я уже неделю как выпустил в плавание BM38 (пропатченый SP2) - с SSO (CLNTRUST), без никаких downgrade-ов. Ваших симптомов (403) в упор нету. Клиенты - XP с NWCL4.90 (sp0-2) и Win98 с NWCL3.31-3.4, правил в ACL - 12 шт.

Зато, доступ через прокси к Web-службам, стоящим на том же сервере, что и BM работает как в анекдоте ( ... - Мальчик, а где ты живешь ? - Сам ты тормоз !... ) :(

Сейчас почитаю Крейга, сделаю правки в PROXY.CFG, может что и поломаю :D ...

P.S. А вот отказаться от NWADMIN-а Novell до сих пор не смог. Переписать PROXY-снапины и пр. для C1 - вот задача...
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Re: О чем это Вы ?

Сообщение alexp_mac » 20 авг 2004, 13:05

[quote="Андрей Троценко"][quote="Boris Morozov"]...А на 3.8 нету пока. Хотя где-то по тидам пробежало, что нужен clntrust 2004 года, о поиском такой не находится. Последний глючный за декабрь 2003. Будем ждать. Народ у меня пока привык.[/quote]

Народ, Вы о чем ? Я уже неделю как выпустил в плавание BM38 (пропатченый SP2) - с SSO (CLNTRUST), без никаких downgrade-ов. Ваших симптомов (403) в упор нету. Клиенты - XP с NWCL4.90 (sp0-2) и Win98 с NWCL3.31-3.4, правил в ACL - 12 шт.

Зато, доступ через прокси к Web-службам, стоящим на том же сервере, что и BM работает как в анекдоте ( ... - Мальчик, а где ты живешь ? - Сам ты тормоз !... ) :(

Сейчас почитаю Крейга, сделаю правки в PROXY.CFG, может что и поломаю :D ...

P.S. А вот отказаться от NWADMIN-а Novell до сих пор не смог. Переписать PROXY-снапины и пр. для C1 - вот задача...[/quote]



Речь о

Defect 374400 open on this. Due to changes in the latest aclcheck, an abnormal number of collsions are occuring in the hash table (due to large number of rules), causing the 403 errors to be generated. The workaround for the time being is to.....
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Сообщение Lab » 25 мар 2005, 19:31

Среди прочего есть такая проблемка, может кому попадалась.

Перегружаем машину,
запуск clntrust через логин скрипт. Ключик появляется, но допуска нет, вываливаемся на авторизацию по SSL

Если тут же его руками запустить (т.е dwntrust, clntrust) все работает

:oops:

Nw6 sp5 IP (BM 3.7 все последнее )+ Nw51 sp6 IP+IPX
Станция W2000 Клиент 4.9 Sp2 IP+IPX (IPX главный :) )
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Андрей Троценко » 26 мар 2005, 00:39

Шамиль Лабазанов писал(а):запуск clntrust через логин скрипт. Ключик появляется, но допуска нет, вываливаемся на авторизацию по SSL

Если тут же его руками запустить (т.е dwntrust, clntrust) все работает


Стандартная рекомендация - запускать такую последовательность:
DWNTRUST
CLNTRUST

А если клацнуть по ключику ДО и ПОСЛЕ попытки открыть страницу, и сравнить - то ?...
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Сообщение Lab » 26 мар 2005, 01:11

Андрей Троценко
Раз спрашиваете, значит такая проблема Вам не встречалась. Жаль :) Это шутка

Спасибо за отклик..
Конечно запускаем именно в такой последовательности:
@dwntrust
@clntrust

ДО и ПОСЛЕ тишина
last request from пусто
.. succeed пусто
.. failed пусто

Если тут же dwntrust clntrust запустим руками, то все нормально,
last request from сервер.оу.дерево
.. succeed 1
.. failed 0

И еще, не работает ключ /noicon..
В том смысле может важно...

:oops:

Как думаете, в какой последовательности научно тыкать ?
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 57