FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда - Страница 128 - Форум Kerio-rus
Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 25.04.2019, 10:23   #2541
toxicmad
 
Аватар для toxicmad
 
Регистрация: 24.03.2015
Сообщений: 4
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Хотелось бы, чтобы неавторизованный пользователь попадал на страницу авторизации вне зависимости от ресурса, к которому обращается, как по http, так и по https. К примеру, сижу я на авито, вышел из авторизации, обновляю страницу и хочу попасть на авторизацию, а не на заблокированную страницу.

Добавлено через 5 минут

Хотелось бы, чтобы неавторизованный пользователь попадал на страницу авторизации вне зависимости от ресурса к которому обращается, как по http, так и по https. К примеру, сижу я на авито, вышел из авторизации, обновляю страницу и хочу попасть на авторизацию, а не на заблокированную страницу.

Последний раз редактировалось toxicmad; 25.04.2019 в 10:23. Причина: Добавлено сообщение
toxicmad вне форума   Ответить с цитированием Вверх
Старый 04.06.2019, 09:34   #2542
daglez
 
Аватар для daglez
 
Регистрация: 03.06.2019
Адрес: Баку
Сообщений: 5
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Всем привет. Имеется проблема с блокировкой соц сетей, сайтов с видео и т.д. Керио стоит последний. АД привязан к Керио. Имеются также группы в АД. Настроил правила веб-фильтрации. Фильтрация http и https сайтов работает, если в destination выбираю any. Но, если там группа АД или доменный пользователь, то блокировка не срабатывает. Сертификат создан в Керио и интегрирован в АД и, следовательно, в системы на компах. Подскажите, пожалуйста, что и где может быть не так?
daglez вне форума   Ответить с цитированием Вверх
Старый 04.06.2019, 19:30   #2543
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,785
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Цитата
Сообщение от daglez Посмотреть сообщение
ильтрация http и https сайтов работает, если в destination выбираю any. Но, если там группа АД или доменный пользователь, то блокировка не срабатывает.
а за каким лешим в дестинейшне группы?
когда они должны быть в источнике
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 04.06.2019, 23:54   #2544
daglez
 
Аватар для daglez
 
Регистрация: 03.06.2019
Адрес: Баку
Сообщений: 5
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Цитата:
Сообщение от naliman Посмотреть сообщение
а за каким лешим в дестинейшне группы?
когда они должны быть в источнике
А как иначе?



Сначала что блокируешь, а потом для кого.
daglez вне форума   Ответить с цитированием Вверх
Старый 04.06.2019, 23:56   #2545
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,785
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

1. картинку не видать
2. я видимо перепутал, если дестинейшн в веб-фильтре, то да
соурс имелся ввиду для политик трафика, прошу пардону
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 05.06.2019, 00:08   #2546
daglez
 
Аватар для daglez
 
Регистрация: 03.06.2019
Адрес: Баку
Сообщений: 5
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Цитата:
Сообщение от naliman Посмотреть сообщение
1. картинку не видать
2. я видимо перепутал, если дестинейшн в веб-фильтре, то да
соурс имелся ввиду для политик трафика, прошу пардону
Да, в веб-фильтре.
daglez вне форума   Ответить с цитированием Вверх
Старый 05.06.2019, 00:10   #2547
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,785
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Цитата
Сообщение от daglez Посмотреть сообщение
Да, в веб-фильтре.

угу...


1. а что с авторизцией ? она включена?
2. попробуйте в веб-фильтре указать конкретного(ых) ползователя(ей) и проверить на них фильтруется ли
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 05.06.2019, 00:13   #2548
daglez
 
Аватар для daglez
 
Регистрация: 03.06.2019
Адрес: Баку
Сообщений: 5
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Цитата:
Сообщение от naliman Посмотреть сообщение
угу...


1. а что с авторизцией ? она включена?
2. попробуйте в веб-фильтре указать конкретного(ых) ползователя(ей) и проверить на них фильтруется ли
1. Авторизация выключена. А нужна ли? Что дает эта авторизация?
2. Пробовал, не блокирует.
daglez вне форума   Ответить с цитированием Вверх
Старый 05.06.2019, 00:20   #2549
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,785
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Цитата
Сообщение от daglez Посмотреть сообщение
1. Авторизация выключена. А нужна ли? Что дает эта авторизация?
включить
ну а как вы думаете керио будет распознавать кто ломится в интернет?
святым духом?


Цитата
Сообщение от daglez Посмотреть сообщение
2. Пробовал, не блокирует.
потому что он не знает кто конкретно "ходит"
угадайте почему

представьте ситуацию:
в магазин вина и шашлычную пускают всех подряд, это по какой-либо причине "не нравится" руководству и оно пишет указ:
"пускать только по паспорту всех кто старше скажем 20 лет, паспорт предъявлять при входе автоматическому сканеру"
при этом автоматический сканер не включают в розетку


вопрос:
кто сможет зайти в магазин или шашлычную?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 05.06.2019, 11:05   #2550
daglez
 
Аватар для daglez
 
Регистрация: 03.06.2019
Адрес: Баку
Сообщений: 5
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

naliman, хех) Как проверю, отпишусь. Спасибо.

UPDATE:

Все получилось.

Последний раз редактировалось daglez; 05.06.2019 в 12:02.
daglez вне форума   Ответить с цитированием Вверх
Старый 05.06.2019, 19:52   #2551
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,785
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

молодец
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 13.09.2019, 11:13   #2552
Alekse
 
Аватар для Alekse
 
Регистрация: 07.05.2009
Сообщений: 13
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Всем привет. - проблема аутентификации пользователей
Kerio control 9.3.0
AD режим работы леса и домена 2016
DNS на керио прописаны только на внутреннем интерфейсе ДНСы в локальной сети
При попытке подключить керио к домену.
Невозможно получить состояние присоединения , хотя операция Domain.join была выполнена успешно
Присоединяется - пользователей в домене вижу - но импортировать не могу.
ошибка подключения.
Прокси выключен - ДНС на керио тоже выключен
Не могу понять в чем дело - в логах ничего нет.
[Для просмотра данной ссылки нужно зарегистрироваться]
Что бы я не менял результат не изменен.

Последний раз редактировалось Alekse; 13.09.2019 в 11:26. Причина: картику
Alekse вне форума   Ответить с цитированием Вверх
Старый 13.09.2019, 11:24   #2553
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,911
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Цитата
Сообщение от Alekse Посмотреть сообщение
в логах ничего нет.
лог debug
ПКМ на свободном месте лога
"сообщения"
ставишь галки на взаимодействиях с доменом
пробуешь, смотришь лог
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 13.09.2019, 12:14   #2554
Alekse
 
Аватар для Alekse
 
Регистрация: 07.05.2009
Сообщений: 13
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Цитата:
Сообщение от exchar Посмотреть сообщение
лог debug
ПКМ на свободном месте лога
"сообщения"
ставишь галки на взаимодействиях с доменом
пробуешь, смотришь лог
Спасибо!
[13/Sep/2019 11:56:48] {auth} ADConnector: testJoin() - (-1) Unknown error
[13/Sep/2019 11:57:12] {auth} ADConnector: testJoin() - (-1) Unknown error
[13/Sep/2019 11:57:16] {auth} ADConnector: testJoin() - (-1) Unknown error
[13/Sep/2019 11:58:50] {user_db} UserConfigData::getData
[13/Sep/2019 11:58:53] {user_db} Last message repeated 4 times
[13/Sep/2019 11:58:53] {user_db} LdapProvider: creating connection 364 to AD01.DOMAIN.local. ThreadId: 20060.
[13/Sep/2019 11:58:53] {user_db} ldapc: Successfuly authenticated to LDAP server AD01.DOMAIN.local as user [Для просмотра данной ссылки нужно зарегистрироваться] using SASL/DIGEST-MD5 authentication. ThreadId: 20060
[13/Sep/2019 11:58:53] {user_db} UserDomains: Connection to domain 'DOMAIN.local' successfully tested.
[13/Sep/2019 11:58:53] {user_db} LdapProvider: closing connection 364. ThreadId: 20060.
[13/Sep/2019 11:58:53] {user_db} UserDomains: Updating state for domain 'DOMAIN.local'
[13/Sep/2019 11:58:55] {user_db} LdapProvider: creating connection 365 to AD01.DOMAIN.local. ThreadId: 20063.
[13/Sep/2019 11:58:55] {user_db} ldapc: Successfuly authenticated to LDAP server AD01.DOMAIN.local as user [Для просмотра данной ссылки нужно зарегистрироваться] using SASL/DIGEST-MD5 authentication. ThreadId: 20063
[13/Sep/2019 11:58:55] {user_db} UserDomains: Connection to domain 'DOMAIN.local' successfully tested.
[13/Sep/2019 11:58:55] {user_db} LdapProvider: closing connection 365. ThreadId: 20063.
[13/Sep/2019 11:58:55] {user_db} UserDomains: Updating state for domain 'DOMAIN.local'
[13/Sep/2019 11:59:23] {auth} ADConnector: testJoin() - (-1) Unknown error

Добавлено через 8 минут

Как то странно включить лог - и 1 раз из 10 срабатывает.

Последний раз редактировалось Alekse; 13.09.2019 в 12:14. Причина: Добавлено сообщение
Alekse вне форума   Ответить с цитированием Вверх
Старый 13.09.2019, 12:18   #2555
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,911
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Цитата
Сообщение от Alekse Посмотреть сообщение
[13/Sep/2019 11:56:48] {auth} ADConnector: testJoin() - (-1) Unknown error
оффподдержка оплачена (SM не истек)? если да, то сразу к ним
если нет, то надо будет ковырять дамп трафика и не факт что удастся что придумать
Цитата
Сообщение от Alekse Посмотреть сообщение
Как то странно включить лог - и 1 раз из 10 срабатывает.
что - срабатывает?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 13.09.2019, 13:30   #2556
Alekse
 
Аватар для Alekse
 
Регистрация: 07.05.2009
Сообщений: 13
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Цитата:
Сообщение от exchar Посмотреть сообщение
оффподдержка оплачена (SM не истек)? если да, то сразу к ним
если нет, то надо будет ковырять дамп трафика и не факт что удастся что придумать

что - срабатывает?
1 раз как то удалось загрузить учетные записи - потом раз 10 ошибка подключения к домену - статус тоже показал что подключен к домену секунд на 5.
Alekse вне форума   Ответить с цитированием Вверх
Старый 13.09.2019, 13:34   #2557
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,911
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Цитата
Сообщение от Alekse Посмотреть сообщение
1 раз как то удалось загрузить учетные записи - потом раз 10 ошибка подключения к домену - статус тоже показал что подключен к домену секунд на 5.
1) в домене случаем не 100500 пользователей?
2) с сетью все нормально?
3) время на керио не убежало?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 13.09.2019, 16:30   #2558
Alekse
 
Аватар для Alekse
 
Регистрация: 07.05.2009
Сообщений: 13
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Цитата:
Сообщение от exchar Посмотреть сообщение
1) в домене случаем не 100500 пользователей?
2) с сетью все нормально?
3) время на керио не убежало?
Да все нормально все в норме.

пока эксперементировал получил вот такую ошибку
ADConnector: testJoin() - (-1) kerberos_kinit_password WEBPROXY$@DOMAIN.LOCAL failed: Preauthentication failed

по прежнему иногда бывает подключится.
Alekse вне форума   Ответить с цитированием Вверх
Старый 13.09.2019, 16:50   #2559
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,911
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Цитата
Сообщение от Alekse Посмотреть сообщение
ADConnector: testJoin() - (-1) kerberos_kinit_password WEBPROXY$@DOMAIN.LOCAL failed: Preauthentication failed
1) еще раз покрутить время, чтобы расхождение между керио и доменом было не более 5 секунд, проверить что время не плавает на керио по любой причине.
2) на линуксах этот косяк решался через допил keytab
глянуть можно [Для просмотра данной ссылки нужно зарегистрироваться] или [Для просмотра данной ссылки нужно зарегистрироваться]
на керио может быть аналогичный способ сработает, не пробовал.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 17.09.2019, 08:41   #2560
ArslanS
 
Аватар для ArslanS
 
Регистрация: 28.08.2017
Сообщений: 12
По умолчанию Re: FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

Скрин сетевых покажешь?
ArslanS вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 10:32. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях