squid ntlm прозрачная авторизация - решение.

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Сообщение skoltogyan » 20 фев 2008, 17:23

v13 писал(а):Что прекрасного в методе который даже на терминальном сервере использовать нельзя.
Да есть ещё куча нюансов с атрибутом networkAddress.
Я этот метод отбросил ещё на начальном этапе ввиду кривости.


V13 - можете подробнее, по вышеприведенной цитает ?
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Сообщение v13 » 20 фев 2008, 17:37

skoltogyan писал(а):
v13 писал(а):Что прекрасного в методе который даже на терминальном сервере использовать нельзя.
Да есть ещё куча нюансов с атрибутом networkAddress.
Я этот метод отбросил ещё на начальном этапе ввиду кривости.


V13 - можете подробнее, по вышеприведенной цитает ?


С предлагаемым решением networkAddress,
если пользователи работают с терминального сервера,
то будет пускать всех, так как ip адрес 1.
Ограничить индивидуально не получится.

Так же если использовать networkAddress
есть нюансы
как:
Этот атрибут прописывается и очищается (novell client-ом)
при старте и завершении сеанса. Если завершениие сеанса некорректно, то атрибут очистится по срабатывании watchdog
(периодический пинг, после некоторого времени нет ответа, очищаем.)
также видел "залипшие" адреса, которые не очищается никак.
Я пришёл в выводу что с достаточной достоверностью этот атрибут использовать нельзя.
Опять же пользователи могут быть вообще без novell client, тоже облом будет.

Пишу по памяти, могу ошибаться. В KB есть тид где подробно описан механизм.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение Aleksey(ishua) » 25 мар 2008, 12:34

черт, тема то интересная, но кто нить из модераторов, потер бы чтоль флуд... А ничего нового никто не родил? :) А то скоро проксю ставить над думать покупать бордер, или городить костыли к squid
Aleksey(ishua)
 
Сообщения: 70
Зарегистрирован: 03 сен 2004, 13:10

Сообщение Андрей Тр. aka RH » 16 авг 2008, 10:31

Вопрос не по теме, но про Сквид, так что спрошу. А можно ли настроить Сквид так, чтобы он не включал в access.log сайты из определенного списка ? К примеру, есть файло со множеством ULR'ов, и при обращении юзеров к оным их НЕ надо добавлять в лог. Что-то я не могу найти ничего подходящего ..
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение v13 » 19 авг 2008, 00:49

Лично я в обработчике лога игнорирую не нужные для статистики сайты и/или адреса.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение Андрей Тр. aka RH » 19 авг 2008, 04:06

Про обработчик понятно, но вопрос возник не на пустом месте. Есть множество адресов, которые не надо учитывать при обсчете баланса пользователей. Данный конкретный "обработчик" делает это, скажем так, не лучшим образом. Как вариант возникла мысль - может, проще их просто не включать в лог ( такой вариант устраивает по всем параметрам ). Как говорят, в ISA для этого достаточно сделать правило для прокси.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

ну так

Сообщение skoltogyan » 19 авг 2008, 10:23

ну так прежде чем натравливать обработчик воспользуйтесь конструкцией:

cat /var/log/squid/access.log | grep -v "mucrosoft' > /var/log/squid/atem.log

после этого в файле atem.log не будет строк со словом microsoft

это все можно шедулить кроном
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: ну так

Сообщение Андрей Тр. aka RH » 19 авг 2008, 16:57

skoltogyan писал(а):ну так прежде чем натравливать обработчик воспользуйтесь конструкцией:

cat /var/log/squid/access.log | grep -v "mucrosoft' > /var/log/squid/atem.log

после этого в файле atem.log не будет строк со словом microsoft

это все можно шедулить кроном

И это тоже понятно .. но а) обработчик читает access.log, скажем так, очень часто ( насколько часто - я не уверен, т.к. это коммерческий софт для контроля за трафиком ) и б) access.log по размеру может быть до нескольких гиг, если так постоянно фильтровать grep'ом, то .. я не уверен, насколько это затянется.

Вообще всякие альтернативные варианты решения проблемы известны :) вопрос был конкретный - можно ли её решить одной строкой в конфиге сквида. ИМХО пока что вырисовывается ответ - нельзя, что грустно - раз на ИСА можно.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение skoltogyan » 19 авг 2008, 17:03

"ИМХО пока что вырисовывается ответ - нельзя, что грустно - раз на ИСА можно."
пож. чуть подробнее - что именно можно в ISA-сервер ?
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Сообщение Андрей Тр. aka RH » 19 авг 2008, 17:43

Андрей Тр. aka RH писал(а):возникла мысль - может, проще их просто не включать в лог .. Как говорят, в ISA для этого достаточно сделать правило для прокси.

Хотя я сам не пробовал, злые языки :twisted: утверждают, что в ISA можно создать правило, по которому не сохранять в логе адреса из заданного списка.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение v13 » 19 авг 2008, 17:50

Это мошенничество! :)
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение Андрей Сысоев » 20 окт 2008, 10:08

У меня такой вопрос. Для работы описанного метода необходимо присутствие простого пароля. Вот собственно и сам вопрос - если пользователь меняет Novell пароль (который также поменяет пароль пользователя Windows на локальной машине) как заставить Novell синхронизировать Novell пароль и пароль cifs? Другими словами как синхронизировать пароли Novell и простой пароль, т.е. когда пользователь меняет пароль Novell точно такой же ставился простой пароль?
Андрей Сысоев
 
Сообщения: 7
Зарегистрирован: 20 окт 2008, 10:03

Сообщение v13 » 21 окт 2008, 08:15

Настроить universal password (UP) и необходимую синхронизацию паролей согласно политики UP.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение Андрей Сысоев » 24 окт 2008, 09:24

v13 писал(а):Настроить universal password (UP) и необходимую синхронизацию паролей согласно политики UP.


А где можно почитать про настройку UP? У меня возникает следующая проблема при создании политик паролей: не сохраняет и не изменяет параметры политики iManager. Установлен NW65SP7.
С Novell столкнулся совсем недавно и складывалось представление, что синхронизировать Novell и Simple passwords - это не очень сложная задача, но на деле оказвается новые движения в танцах с бубнами...
Андрей Сысоев
 
Сообщения: 7
Зарегистрирован: 20 окт 2008, 10:03

Сообщение Константин Ошмян » 24 окт 2008, 11:28

AndreRed писал(а):
v13 писал(а):Настроить universal password (UP) и необходимую синхронизацию паролей согласно политики UP.
А где можно почитать про настройку UP?
Наверное, где-то здесь.
Аватара пользователя
Константин Ошмян
 
Сообщения: 991
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

Пред.След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8

cron