WEB и FTP на NW6.5sp5. Аутенификация?

[chikatalo]

Во внутренней сети на NW6.5sp5 развернуты WEB и FTP сервера. Аутентификация пользователей проходит на уровне пользователей NDS. В дереве имеется еще 2 сервера NW6sp4 в режиме файловых серверов.

Вопрос: как пользователям NDS разрешить аутентификацию на WEB и FTP сервер только по протоколам http и ftp?

[Владимир Горяев]

Собственно не очень понятно зачем... Даже если пользователи и залогинятся, при отсутствии прав, им ето ничего не даст.

как вариант1 - поиграться с параметрами

NCP Exclude IP Addresses:
Maximum length: 190
Can be set in the startup ncf file.
Description: Specify IP addresses over which NCP is disabled. All other IP
addresses on this server will accept NCP traffic. 'NONE' may be
specified to indicate that no bound IP addresses on this server
will disable NCP, 'ALL' may be specified to disable NCP on all
bound IP addresses on this server. Addresses listed here have
priority over the 'Set NCP Include IP Addresses' command.

NCP Include IP Addresses:
Maximum length: 190
Can be set in the startup ncf file.
Description: Specify IP addresses over which NCP is enabled. All other IP
addresses on this server will ignore NCP traffic. 'NONE' may be
specified to indicate that NCP is disabled on all IP addresses.
'ALL' may bespecified to enable NCP over all bound IP addresses

или вариант 2 - прикрыть фильтрами 524 порт для всех адресов, исключая нужные, например соседних серверов в дереве и админских машин.

[Андрей Тр. aka RH]

В свойствах пользователей в ограничениях по адресам вроде можно указывать разрешенные для них адреса и в т.ч. и порты ( для TCP, ну и не только ). Вот интересно, можно ли там указать только соответствующиее порты, ну и заодно можно указать адреса вашей подсетки - я сам не пробовал.

[chikatalo]

В свойствах пользователей в ограничениях по адресам вроде можно указывать разрешенные для них адреса и в т.ч. и порты ( для TCP, ну и не только ). Вот интересно, можно ли там указать только соответствующиее порты, ну и заодно можно указать адреса вашей подсетки - я сам не пробовал.

Если я там укажу адрес, то и на другие сервера регистрироваться можно будет только с этого адреса, тем боле, что регистрация на WEB-сервер проходит по адресу самого сервера,т.е в соединении пользователя проходит адрес сервера, а не пользователя.

А вот с NCP и настройками фильтров попробую поиграться. Если не затруднит подробнее - где указывать включенные и исключенные адреса?

Собственно не очень понятно зачем... Даже если пользователи и залогинятся, при отсутствии прав, им ето ничего не даст.

А надо это для того, чтобы конкуренты внутри конторы не могли видеть коды страниц...

[Владимир Горяев]

Если не затруднит подробнее - где указывать включенные и исключенные адреса?

Речь очевидно про вариант 2. В inetcfg разрешить фильтрацию пакетов, в filtcfg настроить пакетные фильтры.

[Владимир Горяев]

Гм... а может и про вариант 1? Тогда в monitor - параметры сервера или через установку set, как в вышеприведенной цитате.

[chikatalo]

Гм... а может и про вариант 1? Тогда в monitor - параметры сервера или через установку set, как в вышеприведенной цитате.

Этот вариант не подходит, т.к. там устанавливаются параметры NCP для сетевых интерфейсов самого сервера. Если их там установить, то сервер не будет обмениваться NCP с другими серверами дерева

вариант 2 - прикрыть фильтрами 524 порт для всех адресов, исключая нужные, например соседних серверов в дереве и админских машин.

Что было сделано:
1. Включена поддержка фильтров:
Inetcfg – protocols – tcp/ip – filter support : enabled
(IPX на сервере отключен)
2. filtcfg – configure tcp/ip filters – packet forwarding filters: enabled
Там же устанавливаем фильтры :
всем - на запрет NCP
остальным серверам дерева и админским машинам – разрешить NCP
При отсутствии в Packet Type протокола NCP добавляем его:
Name = NCP Protocol= NCP Src port(s) = all Dst port(s) = 0524

И вроде заработало: пользователи имеют доступ к WEB и FTP серверу, а регистрация через новелловского клиента на этот сервер им недоступна.

И все же если кто знает как это реализовать на уровне свойств прав пользователей – подскажите, т.к. при установке на любой машине админского айпишника (машина админа выключена), пользватель получает возможность регистрации на сервере новелловским клиентом !

Всем благодарен за оказанную помощь!

[Владимир Горяев]

И все же если кто знает как это реализовать на уровне свойств прав пользователей – подскажите, т.к. при установке на любой машине админского айпишника (машина админа выключена), пользватель получает возможность регистрации на сервере новелловским клиентом

А надо это для того, чтобы конкуренты внутри конторы не могли видеть коды страниц...

Навскидку.
К примеру явно назначить или отобрать наследуемые права, если они есть, на каталоги с кодами у конкурентов или даже у админа или его еквивалента, а себе любимому дать.
Поотнимать аккуратно права на сервер напр. у объекта [public], дать их явно кому надо, тогда по идее на него не смогут все подряд логиниться.
Так примерно.

[Андрей Тр. aka RH]

Такой глупый вопрос - а команда disable login ( точный синтаксис которой я сходу не вспомню ) влияет на все способы логинов, включая ftp и http ? или же только по NCP ( как мне казалось, это только для логинов с Клиента, т.е. по NCP ) ?

[skoltogyan]

Для пользователй использовать restrict login by IP Address/IPX address
Вписав, что можно, только с сервера логинится .

[Андрей Тр. aka RH]

Для пользователй использовать restrict login by IP Address/IPX address
Вписав, что можно, только с сервера логинится .

Не .. им нужно таким образом ограничить логин только на один сервер в дереве .. А на остальные-то при этом тем же пользователям нужно логиниться как обычно, с клиента.

[chikatalo]

Такой глупый вопрос - а команда disable login ?

А как же я сам потом достучусь к серверу, если соединение существующее прервется?!

[Андрей Тр. aka RH]

Такой глупый вопрос - а команда disable login ?

А как же я сам потом достучусь к серверу, если соединение существующее прервется?!

Ну как .. disable login ненадолго отменить и залогиниться ? Я-то так понял, что у вас к этому серверу логины в принципе нужны только по ftp и http - и выдвинул гипотезу, что на них как раз disable login не повлияет. Или вам надо пользователей блокировать выборочно - типа чтобы админ мог залогиниться и по NCP ?

[chikatalo]

Или вам надо пользователей блокировать выборочно - типа чтобы админ мог залогиниться и по NCP ?

Ну, кончечно!, не бегать же по различным гдюкам в серверную...Да и разработчику WEBа нужен нормальный полноценный доступ к файлам.

Результаты, полученные описанным выше способом, пока удовлетворяют.

[Андрей Тр. aka RH]

Во внутренней сети на NW6.5sp5 развернуты WEB и FTP сервера. Аутентификация пользователей проходит на уровне пользователей NDS. В дереве имеется еще 2 сервера NW6sp4 в режиме файловых серверов.

Вопрос: как пользователям NDS разрешить аутентификацию на WEB и FTP сервер только по протоколам http и ftp?

Ну, кончечно!, не бегать же по различным гдюкам в серверную...Да и разработчику WEBа нужен нормальный полноценный доступ к файлам.

А этого не было в начальном условии задачи ( см. Вопрос ). Вы тогда для начала опишите, чего именно вам хочется - хотя теперь оно уже более-менее понятно.

Бегать в серверную и не надо - практически все можно сделать удаленно ( через веб ). Аналогично дать доступ к файлам разработчику - хоть через тот же Netstorage / WebDAV, или вообще по ftp ( что есть вполне обычная практика - далеко не все веб писатели имеют доступ к серверам через примапленные диски ).