Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 20.11.2006, 14:50   #21
Vatman
 
Аватар для Vatman
 
Регистрация: 10.04.2006
Адрес: St.-Petersburg, Russia
Сообщений: 2
По умолчанию

Подскажите пожалуйста, если у кого работает
автоматическая авторизация через АД KWF 6.2.3.
Ручная авторизация работает, автоматическая – нет.

Авторизацию по IP делать не желательно.

Authentication options – две галки стоят
Enable NT Domain authentication for this domain - стоит

Vatman вне форума   Ответить с цитированием Вверх
Старый 22.11.2006, 09:25   #22
vo100k
Навичёг
 
Аватар для vo100k
 
Регистрация: 03.11.2006
Адрес: Харьков, Украина
Сообщений: 41
По умолчанию

в поле "имя домена АД" пиши netbios-, а не dns-имя домена!
vo100k вне форума   Ответить с цитированием Вверх
Старый 23.11.2006, 06:32   #23
Vatman
 
Аватар для Vatman
 
Регистрация: 10.04.2006
Адрес: St.-Petersburg, Russia
Сообщений: 2
По умолчанию

Пока не работает

Имена пользователей в домене английские.

Пробовал писать в поле
Цитата "имя домена АД" netbios-, а не dns-имя домена!
NT домен тоже обзывал по разному.

Автоматическая авторизация проскакивает после того, как нажимаешь кнопочку Logout user - тут же срабатывает :helloween:
Vatman вне форума   Ответить с цитированием Вверх
Старый 08.12.2006, 18:10   #24
maximussvv
Навичёг
 
Аватар для maximussvv
 
Регистрация: 30.11.2006
Адрес: ukr
Сообщений: 26
По умолчанию

Прошу больно не пинать.

Как правильно заставить при каждой попытке похода в нет появляться окно авторизации? Где-то прочел - верный способ - через правила.
У меня домена нет.

Пробовал так:
Отключил в Users - Authentikation Options - обе галки.

В HTTP policy
в самом низу создаю правило:
any user (с отмеченным do not require authent) - URL begins with * - Deny access to the web site
v vkladke Advanced Redirect to URL - http://192.168.2.1:4080/fw/login

Но после авторизации и дозвона не отсылает на запрошенную страницу, а выбрасывает страницу авторизации.
==========================================
Пробовал последними 3 правила так (где-то прочел):
1. В HTTP policy
any user (с отмеченным do not require authent) - URL begins with * - Allow access to the web site

2. any user (с отмеченным do not require authent) - URL begins with * - Deny access to the web site
v vkladke Advanced Redirect to URL - http://192.168.2.1:4080/fw/login

3. any user (с отмеченным do not require authent) - URL begins with * - Deny access to the web site

Ошибка: http-шлюз не отвечает.

Подскажите, пож-та, как правильно.
__________________
maximussvv вне форума   Ответить с цитированием Вверх
Старый 08.12.2006, 19:22   #25
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,766
По умолчанию

Цитата
Сообщение от maximussvv
Как правильно заставить при каждой попытке похода в нет появляться окно авторизации? Где-то прочел - верный способ - через правила.
то есть открыл одну страницу - авторизовался
открыл новое окно браузера - снова авторизовался...
так чтоль?
Цитата
Сообщение от maximussvv
У меня домена нет.
похую

Цитата
Сообщение от maximussvv
Пробовал так:
Отключил в Users - Authentikation Options - обе галки.
то есть ОТКЛЮЧИЛ обязательную авторизацию
Цитата
Сообщение от maximussvv
В HTTP policy
в самом низу создаю правило:
any user (с отмеченным do not require authent) - URL begins with * - Deny access to the web site
v vkladke Advanced Redirect to URL - http://192.168.2.1:4080/fw/login

Но после авторизации и дозвона не отсылает на запрошенную страницу, а выбрасывает страницу авторизации.
что такое авторизация и дозвон
какой нахуй дозвон? почему о нём аньше ни слова?
тебепатов ищем блять?
сожку на косртре нах!
и подумай сам что ты за правило запиздярил:
"любой пользователь запросившый любой URL - запретить и отправить на страницу авторизации"
ГДЕ СМЫСЛ?
ты ебанулся вообще штоль?
ты попробуй себе сделай тридцать дорог из дома которые ведут нахуй
а потом спроси почему ты попадаешь только нахуй и никуда боле
Цитата
Сообщение от maximussvv
Подскажите, пож-та, как правильно.
http://kerio-rus.ru/index.php?option=com_content&task=view&id=35&Itemid=47
вот тут правильно

БЛЯТЬ ЭТО ПИЗДЕЦ
УЖЕ И ПО КАРТИНКАМ УМА НЕ ХВАТАЕТ НАСТРОИТЬ?
ТОГДА УВОЛЬСЯ НАХУКЙ И ИДИ МЕТИ ДВОРЫ БЛЯ
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 09.12.2006, 12:48   #26
maximussvv
Навичёг
 
Аватар для maximussvv
 
Регистрация: 30.11.2006
Адрес: ukr
Сообщений: 26
По умолчанию

Конечно вы аторитет, но такое словоблудие...
Прежде чем пробовать просмотрел довольно много. Предложенная вами схема не сработала.

Нашел:
3947. Семен Семеныч Горбунков, 25.10.2005 18:18

отключить "Always Auth" и взглянуть в HTTP Policy->URL Rules
и там уже создавать правила для хождения юзеров в инет (хотя бы предварительную переадресацию на страницу авторизации KWF)

Далее:Kerio WinRoute FireWall 5.xx
FAQ составлен по материалам
форума Windows FAQ - Форум - KWR 5.0 (Kerio Winroute 5.0) (стр.1-93 вопр. 1-122, стр 94-123 вопр. 218-226)
форума XBT Hardware BBS » Системное администрирование, безопасность » Winroute FAQ - Просьба все вопросы по Winroute задавать в этой ветке ? (стр. 1-18 вопр. 123-171)
форума Компьютерный форум RU.Board » Компьютеры » Программы » Kerio WinRoute Firewall (стр. 1-18 вопр. 174-215)


Как заставить WinRoute 5.1.9 требовать авторизации пользователя при каждом новом окне IE?

211Q. нормальная авторизация на прозрачном прокси.
A. Т.е. авторизовываемся не по вкладке логон и повторным вбиванием запрошенного сайта, а НОРМАЛЬНО, т.е. пользователь сделал запрос - выскочила страничка (другая совершенно - спецовая) с вводом логина и пароля, как только ввели логин и пароль, тут же атоматом грузится запрашиваемый сайт.
Достаточно в HTTP политиках первым поставить правило разрешить всем авторизованным пользователям, вторым поставить правило всех редиректить на страничку авторизации Kerio и последним - запретить всем!
Таким образом получаем нормальную авторизацию через встроенный личный кабинет пользователя с автоматическим перебросом на запрашиваемый сайт после аторизации.

А стоит адсл и после авторизации там же предлагается коммутация - это дозвоном обозвал.





__________________
maximussvv вне форума   Ответить с цитированием Вверх
Старый 11.12.2006, 17:37   #27
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

maximussvv
смотрим сюда:
http://forum.ixbt.com/topic.cgi?id=7:12821:1091#1091
где сказано про "Простую авторизацию пользователей"
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 30.01.2007, 14:44   #28
ygeek
Навичёг
 
Аватар для ygeek
 
Регистрация: 25.01.2007
Адрес: сургут
Сообщений: 26
По умолчанию

не получается получить список пользователей с AD. "Unable to connect to domain server" или "invalid credentials for domain controller"
инструкция не помогла.
можете подробнее описать данную настройку.

кайро версии 6.2.2 loc ip 192.168.1.4
ad ip 192.168.1.2
заранее благодарен
ygeek вне форума   Ответить с цитированием Вверх
Старый 31.01.2007, 18:21   #29
Alex71
Песака
 
Аватар для Alex71
 
Регистрация: 29.01.2007
Адрес: Moscow
Сообщений: 100
По умолчанию

Всем доброго времени суток

Вот появилась необходимость в автоматическом отключении пользователей от Kerio (6.2.0) при их (пользователей) выходе из винды, имеется в виду отключения без нажатия кнопки на странице выхода. По таймеру не получается, так как в сети есть пара компов на которых юзвери меняются при смене дежурства (т.е. один выходит - другой сразу заходит). Таймер automatic logout стоит на 10 мин. (меньше не могу все жалуются) и дежурные успевают сменить пользователя (если кто то забыл или забил выйти) не переригистрировавшись в Керио и весь трафик идет на предыдущего. На компах в автозагрузку прописал http://router/fw/login (используется AD авторизация браузером) - не помогло некоторые успевают закрыть браузер еще до авторизации.

Заранее благодарен за ваши советы

PS к стати http://kerio-rus.ru/6/index.html у меня почемуто не открывается
Alex71 вне форума   Ответить с цитированием Вверх
Старый 31.01.2007, 22:16   #30
Alex71
Песака
 
Аватар для Alex71
 
Регистрация: 29.01.2007
Адрес: Moscow
Сообщений: 100
По умолчанию

В том то и вопрос, что керио нужно отправить (в смысле команду текст и т.п.)?
Что передает IE kerio при нажатии кнопки?
Alex71 вне форума   Ответить с цитированием Вверх
Старый 02.02.2007, 15:36   #31
Alex71
Песака
 
Аватар для Alex71
 
Регистрация: 29.01.2007
Адрес: Moscow
Сообщений: 100
По умолчанию

Огроное спасибо
Щас читаю:super::krutoДобавление)
Вау значки не те получились
Хотел :super: и :up:

А с вопросом разобрался
Всем огромное спасиб

Тему можно считать закрытой

Цитата Автоматическая авторизация на KWF через Logon-скрипт
login.js:

код
--------------------------------------------------------------------------------
var oIE = WScript.CreateObject("InternetExplorer.Application");
oIE.Visible = 1;
oIE.navigate("http://server:4080/fw/login");
while (oIE.Busy) WScript.Sleep(200);
while (oIE.ReadyState != 4) WScript.Sleep(200);

--------------------------------------------------------------------------------


Автоматическая деавторизация на KWF через Logout-скрипт
logout.js:

код
--------------------------------------------------------------------------------
var oIE = WScript.CreateObject("InternetExplorer.Application");
oIE.Visible = 1;
oIE.navigate("http://server:4080/fw/login");
while (oIE.Busy) WScript.Sleep(200);
while (oIE.ReadyState != 4) WScript.Sleep(200);
oIE.navigate("http://server:4080/fw/logout");
while (oIE.Busy) WScript.Sleep(200);
while (oIE.ReadyState != 4) WScript.Sleep(200);
oIE.document.forms[0].ButtonLogout.click();

--------------------------------------------------------------------------------

Alex71 вне форума   Ответить с цитированием Вверх
Старый 05.02.2007, 17:36   #32
Alex71
Песака
 
Аватар для Alex71
 
Регистрация: 29.01.2007
Адрес: Moscow
Сообщений: 100
По умолчанию

Вроде пока раюотают

Тока заменил
oIE.Visible = 1 - oIE.Visible = 0
(дабы не нервировать юзверей)

и при установке скриптов в GP на AD
WScript.Sleep(200) - WScript.Sleep(1500)
(иначе не всегда успевали отработать, пробовал эксперементально)

И попробуйте поиграть с адресом страницы у меня заработала https://server/... - т.е. без указания конкретного порта, но с префексом https

Недельку потестю и отпишусь

А так же огромное пасиб С.С. Горбунков за очень полезную :up: ссылку!!!

PS К стати ни кто не знает как принудительно на все компы установить сертификат, а то если он не установлен пользователем то все равно пользователю приходится давить кнопку с подтверждением открытия страницы по https
Alex71 вне форума   Ответить с цитированием Вверх
Старый 06.02.2007, 10:54   #33
slaver
 
Аватар для slaver
 
Регистрация: 17.01.2007
Адрес: Spb
Сообщений: 7
По умолчанию

Заранне прошу не шибко ругаться, но хотел бы прояснить ситуацию вокруг NTLM-авторизации и логаута юзера. У меня отключена аутентификация через web-страницу керио. Настроена NTLM через AD. Как в этом случае делать пользователю логаут? Пробовал сменить юзера и зайти в инет - так вот прошел через прокси по сессии предыдущего пользователя :eek: Урезать до минимума время до автоматического логаута при неактивности сессии - как вариант, но тоже не очень подходит, т.к. IE или Mozilla знают NTLM, а опера нет - и потому весь софт с BASIC-авторизацией будет даже для "правильных" юзеров занозой в ж... с постоянными запросами пароля Кстати (вопрос возможно не в тему) - есть ли возможность отрубить всё, кроме NTLM? Заранее благодарен за ответ.
slaver вне форума   Ответить с цитированием Вверх
Старый 06.02.2007, 13:58   #34
Alex71
Песака
 
Аватар для Alex71
 
Регистрация: 29.01.2007
Адрес: Moscow
Сообщений: 100
По умолчанию

slaver
Да ругаться вроде не за что

На сколько я понял авторизация AD работает тока через браузер (во всяком случае по другому у меня не получилось)
А прокси я не использую

Вот мои настройки (мож к томуже кто чего умного подскажет по моей авторизации)
[Для просмотра данной ссылки нужно зарегистрироваться]

Последний раз редактировалось Alex71; 07.08.2008 в 17:05.
Alex71 вне форума   Ответить с цитированием Вверх
Старый 06.02.2007, 14:30   #35
Alex71
Песака
 
Аватар для Alex71
 
Регистрация: 29.01.2007
Адрес: Moscow
Сообщений: 100
По умолчанию

И вот

[Для просмотра данной ссылки нужно зарегистрироваться]

Последний раз редактировалось Alex71; 07.08.2008 в 17:05.
Alex71 вне форума   Ответить с цитированием Вверх
Старый 08.02.2007, 14:05   #36
Evheni
 
Аватар для Evheni
 
Регистрация: 08.02.2007
Адрес: Москва, Россия
Сообщений: 3
По умолчанию

Керио настроен правильно, все пользователи авторизованы !!!

ПРИМЕР :
Пользователь "Евгений" ip 195.0.0.107 по правилам доступ в и-нет разрешён.
адрес ip присвоен DHCP сервером (по mac адресу).
допустим доступ разрешён только этому пользователю.

ВОПРОС :
выключаем вышеуказанную машину
включаем другую, настраиваем сетевуху на 195.0.0.107 (на машине абсолютно другой пользователь "МАША" например)
ПОЧЕМУ РАБОТАЕТ ИНТЕРНЕТ ???
ПОЧЕМУ kerio определяет "МАША", как "Евгений" ???

Объясню для чего это надо !
представте в сети 2 компа 195.0.0.107 и 195.0.0.108 (помимо сервака)
107-му и-нет нужен
108-му нет
что мешает 108-му поставить у себя ip 107 и лазить в нете, когда тот комп выключен если логины и пароли никак не влияют ???
Ещё раз обращаю внимание я не рассматриваю авторизацию в окне браузера !!!
Evheni вне форума   Ответить с цитированием Вверх
Старый 08.02.2007, 15:12   #37
С.С. Горбунков
Clairvoyant
 
Аватар для С.С. Горбунков
 
Регистрация: 19.07.2006
Адрес: Пенза-Москва
Сообщений: 6,919
По умолчанию

Evheni
Цитата
Сообщение от Evheni
Керио настроен правильно, все пользователи авторизованы !!!
если возникают ситуации, описанные ниже - тогда неправильно настроен Керио..
Цитата Пользователь "Евгений" ip 195.0.0.107 по правилам доступ в и-нет разрешён.
адрес ip присвоен DHCP сервером (по mac адресу).
допустим доступ разрешён только этому пользователю.
то есть имееца в виду автоматический логин данного юзера с данного айпи. тогда чему удивляться дальше, если этот айпи присваивается другой машине, а Kerio дальше по барабану, что за юзер там сидит, Евгений, Маша или Путин Владимир Владимирович...
__________________

керио
С.С. Горбунков вне форума   Ответить с цитированием Вверх
Старый 08.02.2007, 22:00   #38
Evheni
 
Аватар для Evheni
 
Регистрация: 08.02.2007
Адрес: Москва, Россия
Сообщений: 3
По умолчанию

С.С. Горбунков

Возможно ли в Kerio идентифицировать пользователей по mac адресам ???
если да то как ???
Evheni вне форума   Ответить с цитированием Вверх
Старый 09.02.2007, 01:57   #39
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,766
По умолчанию

Цитата
Сообщение от Evheni
Возможно ли в Kerio идентифицировать пользователей по mac адресам ???
мануал берём и читаем - НИКАК
если только селать резервирование в DHCP и пользователя привязать к IP
получится : сетевхуе с определенным МАК-ом выдаётся только один IP и этот IP в керио ассоциируется с пользователем

а почему авторизация по логину\паролю не катит? по религиозным соображениям???
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 09.02.2007, 11:10   #40
Evheni
 
Аватар для Evheni
 
Регистрация: 08.02.2007
Адрес: Москва, Россия
Сообщений: 3
По умолчанию

Цитата:
Сообщение от naliman
селать резервирование в DHCP и пользователя привязать к IP
получится
НЕ ПОЛУЧАЕТСЯ !!!

Цитата:
Сообщение от naliman
а почему авторизация по логину\паролю не катит?
ПРИНЦИПИАЛЬНО !!!
один раз вводить пароль при загрузке, а второй раз при открытии браузера - ГЛУПО !!!
Evheni вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 23:33. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях