Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 24.03.2006, 06:34   #1
Sas
 
Аватар для Sas
 
Регистрация: 24.03.2006
Сообщений: 1
Восклицание FAQ: Авторизация в KWF, в том числе по Active Directory - вопросы сюда

День добрый! Используем KFW 6.1.2 C какого-то времени пропала автоматическая авторизация пользователей... В "Host/User" рисуются хосты без юзеров. Обязательной авторизации у нас нет, - начальству не нравится. Сеть с доменами... В итоге получается что юзеру Pup запрещен инет, но тем не менее он заходит и пользуется...
Как бороться?

Последний раз редактировалось EnMan; 01.10.2007 в 15:58.
Sas вне форума   Ответить с цитированием Вверх
Старый 24.03.2006, 21:31   #2
VitGun
Песака
 
Аватар для VitGun
 
Регистрация: 20.03.2006
Адрес: Оренбург
Сообщений: 58
По умолчанию

Могу предложить как вариант - проставить каждому юзверю IP и поставить в разделе USERS на вкладке Advanced галочку (точно название не помню, а проги под рукой нету ) что-то вроде Autorization required...у меня по крайней мере так...даже если юзвер не залогинен на WinRoute - первое обращение к http и автоматом происходит логин юзверя по его IP.
VitGun вне форума   Ответить с цитированием Вверх
Старый 31.03.2006, 17:58   #3
Devilmdv
 
Аватар для Devilmdv
 
Регистрация: 31.03.2006
Сообщений: 8
По умолчанию

Все просто если есть Active Directory. Закладка Users подзакладка Authentification options. 2 галочки поставить надо: Always requarу users... и Enable Active Directory ...... + к этому настроить автоматическое обновление с Active Directory:up:
Devilmdv вне форума   Ответить с цитированием Вверх
Старый 07.04.2006, 11:49   #4
AHAHACbI
 
Аватар для AHAHACbI
 
Регистрация: 07.04.2006
Сообщений: 1
По умолчанию

Превед, учаснеги! Может кто знает как сделать так, чтобы каждый раз запрашивался пароль на доступ в интернет. тоесть сидим в одном окошке IE. открыли второе, полезли в интернет - а он чтоб снова пасс спросил...
Заранее всем спасибо!
AHAHACbI вне форума   Ответить с цитированием Вверх
Старый 10.04.2006, 18:05   #5
lov
Знатный писарь
 
Аватар для lov
 
Регистрация: 10.03.2006
Адрес: г.Харьков
Сообщений: 370
По умолчанию

AHAHACbI
все в норме, я тоже бился над этим в свое время, еще на версиях 5.x это решалось добавлением одного параметра:

1. Set all clients to use proxy server.
2. Stop Winroute
3. Edit winroute.cfg file and change value "HttpProxyAlwaysAuth" to "1"
4. Start Winroute


winroute.cfg кочует у меня еще с версии 5.х и авторизация при каждом новом открытом окне инетэксплорера работает

не догоняю я web авторизацию:down:
lov вне форума   Ответить с цитированием Вверх
Старый 15.06.2006, 14:11   #6
lisss
 
Аватар для lisss
 
Регистрация: 14.06.2006
Сообщений: 4
По умолчанию

Winroute 6.0.10
Значиться так: настраиваю юзеров. Ставлю галочку Enable Active Directory authentification, прописываю домен. Импортирую юзеров из Active Directory. Но при попытке юзера подключиться выскакивает форма, где нужно вводить домен, имя и пароль. По существу вопроса не нашел нигде ничего. Вобще возможно ли сделать аутентификацию без окошек, чтобы она происходила незаметно для юзера?
lisss вне форума   Ответить с цитированием Вверх
Старый 15.06.2006, 17:20   #7
lov
Знатный писарь
 
Аватар для lov
 
Регистрация: 10.03.2006
Адрес: г.Харьков
Сообщений: 370
По умолчанию

lisss
Цитата это правило будет действовать для ВСЕХ юзеров
нет, там есть кнопка Select, где можно выбрать нужных юзверей

а как тогда реализовано это: много правил разных, ориентированых именно на конкретных юзеров
тогда просто галку включить
lov вне форума   Ответить с цитированием Вверх
Старый 15.06.2006, 19:12   #8
lov
Знатный писарь
 
Аватар для lov
 
Регистрация: 10.03.2006
Адрес: г.Харьков
Сообщений: 370
По умолчанию

lisss
Цитата галка станет неактивна
ну да, точно, неативна...

а если попробовать, привязать юзера не к определенному IP, а к группе IP локалки? в свойствах юзера > IP адресс > автоматический логон > указать группу(Добавление)
lisss
может ты и читал... но вот что сказано в справке

Цитата Активировать автоматическую аутентификацию пользователей... (Enable user authentication automatically ...)

Если используется Microsoft Internet Explorer (версия 5.01 или выше), то пользователь может регистрироваться автоматически (используя NTLM). Для этого метода аутентификации необходимы следующие условия:

Сервер (т.е. узел WinRoute) должен принадлежать соответствующим доменам Windows NT или Kerberos 5 (Windows 2000/2003).

Узел клиента должен принадлежать домену.

Пользователь узла-клиента должен пройти аутентификацию в этом домене (т.е. локальная учетная запись пользователя для этого не годится).

WinRoute Брандмауэр должен работать как сервис или под учетной записью пользователя с правами администратора для узла WinRoute.

NTLM нельзя использовать для аутентификации во внутренней базе данных.
lov вне форума   Ответить с цитированием Вверх
Старый 10.08.2006, 14:32   #9
buv
Навичёг
 
Аватар для buv
 
Регистрация: 09.08.2006
Адрес: Брянск, Россия
Сообщений: 22
По умолчанию

Kerio Winroute 6.2.1 build 1454 (таблетка от ssg)
---
Мужики, помогайте!

Сделал все правила по вашим примерам (без доменов) ,
за исключнеим правил 7,8,9 (где "ко мне"- мне это не надо.)

Авторизация тоже как у вас в примере.
Только не могу прописать правило в URL Rules для авторизации пользователей
Как оно создается, хз.

Остальное все в копейку сделал/просек

В результате Не появляется страница авторизации:
"The page cannot be displayed" Cannot find server or DNS Error Internet Explorer


(Добавление)
Вообще ситуция такая.
У меня 3 интерфейса:
1.Сетевая 192.168.0.1 (СЕТКА)сморит в сетку.
2.Сетевая 192.168.1.3 (ПРОВ)смотрит на провайдера через АДСЛ-модем.
3.Соединение через тот-же модем по РРТР к провайдеру в инет. (ИНЕТ)
(По чему-то в Керио отображается как Dail-UP)

У прова сетка со своими внутренними www, ftp, и т.д. серверами, там мне все бесплатно,
трафик считать не надо, и РРТР поднимать не надо.
А для инета надо PPTP, тут статистика нужна.

Делаю правило: СЕТКА-ПРОВ-ани. а серверов прова не вижу.
Работает только когда инет подключен: СЕТКА-ИНЕТ-ани
У меня закрались сомнения по поводу оплалы за посещение внутренних серверов провайдера.
Короче снес все правила. Поставил из ваших примеров.

Вот с авторизацией проблема
Короче помощи прошу, пля :cry2:
buv вне форума   Ответить с цитированием Вверх
Старый 26.08.2006, 12:37   #10
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,821
По умолчанию

Короч:

1. Смотрим вкладку "Advanced options" - "Web interface/SSL-VPN" и видим имя машины с винроутом в строке "Winroute server name". Оно должно быть в формате FDQN - т.е. имя_машины.имя_домена

2. Набираем в досовском окошке nslookup [имя_винроуте_сервер.его_домен]
3. Охуеваем и понимаем, что забыли его прописать в ДНС _ВНУТРЕННЕГО_ домена
4. Исправляем ошибку прописывая винроуте сервер в ДНС
5. Наслаждаемся, наблюдая страницу авторизации.

Еще вопросы??

P.S. Да, чуть не забыл: для того, чтоб система поняла, что юзеров НУЖНО авторизовать, то нужно создать группу с названием, ну, скажем, USERS, куда включить всех не привилегированых юзеров, а в УРЛ рулес создать что-то типа "Иф юзер акцессин УРЛ ис - селектед юзерс (сюда добавить эту группу) - анд УРЛ матч критериа - здесь указываем что запрещаем читать юзерам - денай акцесс ту зе веб сайт". Идем на вкладку "Адвансед" и ставим "Шоу денаиал пейдж", или как хотите его редиректить...

Вот и все.
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 28.08.2006, 19:18   #11
promo
Песака
 
Аватар для promo
 
Регистрация: 04.08.2006
Адрес: Краснодар
Сообщений: 82
По умолчанию

ковырялся ковырялся...
что смог сделать. за 2 недели.
1. Скачать KWF
2. Установить
3. Найти на сайте www.kerio-rus.ru лекарство для сего продукта в месте с паролем.
4. Установить. на w2k3 c AD
5. Настроить правила, классическая схема 2 сетевые, одня в net другая в локалку.
это с чем вообще проблем нет, а теперь что немного сложнее.
6. настроить NAT, тож вроде проблем несоставило.
7. Mapping
7.1. в локалке есть еще один сервер под Citrix, так вот сделал что бы можно было пользоваться этим сервером из вне.
7.2. есть еще третий сервер, для видео наблюдения. так вот тоже самое. Шеф смотрит что творится в офисе не выходя из дома.
7.3 ну еще и почтовый сервер.
8. Сегодня разобрался с авторизациями. Все должны авторизовываться с ограничениями на download. Помучался правда с тем что бы с одной машинки(директорская) была авторизация по ip.

ну вроде все.... теперь с tmeter разбираюсь.
хочу с vpn разобраться... не разу не ковырял, но все же.

ЗЫ Если бы не этот сайт и форум то наврядле бы смог все это сделать.
Большое спасибо за этот ресурс.
promo вне форума   Ответить с цитированием Вверх
Старый 06.09.2006, 13:27   #12
Stalker780
 
Аватар для Stalker780
 
Регистрация: 03.07.2006
Адрес: Харьков, Украина
Сообщений: 7
По умолчанию

Кому-нить все-таки удалось настроить NTLM аутентификацию? Я уже не первый месяц долбаюсь, но ничего не получается. Инфы и факов нигде по этому поводу нет. Мне тоже надо чтобы винрут подхватывал текущего пользователи из AD. Никакой привязки по ИП.(Добавление)
Ха! Оказывается это я долбоеб! не додумался попробовать завести аглицкого юзера
Вопрос теперь стоит так: керио собирается это править?
__________________
Сука я бэтман!
Stalker780 вне форума   Ответить с цитированием Вверх
Старый 07.09.2006, 01:32   #13
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,821
По умолчанию

Нет. Скорее всего не собирается, ибо, ЛАТИНИЦЕЙ пишет 90% юзеров в мире...
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 08.11.2006, 16:41   #14
Logrim
 
Аватар для Logrim
 
Регистрация: 08.11.2006
Сообщений: 5
По умолчанию

Авторизация по IP
Есть задача, раздавать http и ftp строго по IP (ну и квоты, естественно). ПОЧТУ И АСЬКУ НУЖНО ДАВАТЬ БЕЗ КВОТ.
Система Вин2003 СП1, рабочая группа, керио 6.2.3 билд 2027.
Включен ДНС форвардинг на сервера провайдера.

Привязываю пользователя к ИП, указываю квоты, ввожу в группу (Группа).
Авторизацию через Веб не включаю.
В Traffic Policy создаю правила

Source – локальный интерфейс, Firewall-> Destination – локальный интерфейс, Firewall -> Service – Ani -> Action – Permit

Source – Группа -> Destination – интернет интерфейс -> Service – DNS, HTTP, FTP -> Action – Permit ->Log -> Nat (интернет).

Source – локальный интерфейс -> Destination – интернет интерфейс -> Service – POP3, smtp, ICQ -> Action – Permit -> Log ->Nat (интернет).

Поднимаю правила на самый верх. Обламываюсь. С рабочей станции никакие пакеты не проходят.
Меняю во втором правиле Source – на Авторизированные пользователи. Обламываюсь опять.
Меняю во втором правиле Source – на локальный интерфейс. Все работает.
Траф считается на пользователя, квоты работают.
Если квоты срабатывают, то перекрывается ВЕСЬ трафф.

Вопрос. Как раздать почту и аську без счета?
Logrim вне форума   Ответить с цитированием Вверх
Старый 08.11.2006, 16:49   #15
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,766
По умолчанию

Цитата
Сообщение от Logrim
Вопрос. Как раздать почту и аську без счета?
разрешающее их правило поставить выше того где заданы квоты
разрешить всем

возможно придётся "логофф" делать на серворе пользакам после слабатывания лимита
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 08.11.2006, 16:51   #16
kliv
Песака
 
Аватар для kliv
 
Регистрация: 03.04.2006
Адрес: г.Новочеркасск
Сообщений: 133
По умолчанию

Что бы работало второе правило, сначала надо авторизавать пользователя, посмотри в хостс/юзерс, список хостов и обязательно должны быть авторизованные на них пользователи. после старта сервиса керио, авторизация проходит не сразу, бывает задержка до 10мин, потом все идет нормально. может ты не дождался авторизации?
kliv вне форума   Ответить с цитированием Вверх
Старый 09.11.2006, 11:28   #17
Logrim
 
Аватар для Logrim
 
Регистрация: 08.11.2006
Сообщений: 5
По умолчанию

Поковырял настройки веб сервера керио (добавил свою подсеть в allow access only from IP...) , теперь можно в кач-ве источника можно указывать "Авторизированных пользователей" или группы.

[off]# бред какой-то[/off]

Проблема с квотами осталась.

переформулирую

если керио авторизирует юзера по ИП (не знаю, как при веб авторизации),
то при привышении квот блокируется (или режется скорость) ВСЕГО траффика юзера, даже если разрешающее правило на сервис icq+dns с источником "внутренний интерфейс" (или ИП юзера, или диапазон ИП, или 192.168.0.0/24) стоит ВЫШЕ правила, разрешающего АВТОРИЗИРОВАННЫМ пользователям HTTP, FTP, DNS и т.д.

зы если юзер не авторизирован (его ИП нигде не фигурирует), то его вообще никуда не пускает, а в хостс/юзер пишет ИП без имени.

pps в зы был не прав, когда пользователь ВООБЩЕ не авторизирован, то его пускает по правилу для не авторизированных. Если он авторизирован, то квоты срабатывают на ВЕСЬ трафик.
Logrim вне форума   Ответить с цитированием Вверх
Старый 10.11.2006, 06:13   #18
Logrim
 
Аватар для Logrim
 
Регистрация: 08.11.2006
Сообщений: 5
По умолчанию

нашел типа решение.
если пользователь выжрал весь интернет (ХТТП и ФТП), то его учетную запись нужно отключить ручками (логаут не поможет). тогда он станет неавторизированным и сможет получать почту и аську анлимитно.
Logrim вне форума   Ответить с цитированием Вверх
Старый 13.11.2006, 13:45   #19
bufon
Песака
 
Аватар для bufon
 
Регистрация: 20.10.2006
Адрес: Питер
Сообщений: 55
По умолчанию

Ну вот к примеру:
Стоит автоматическая авторизация пользователей по ip
Скажем для 192.168.1.10 можно все а для 192.168.1.11 только pop и smtp
на клиентах админские права для их машин... и нечего не стоит сменить ip и
получить логин другого пользователя.... с маком это сложне..

отписался в в супорт... счас на форуме у них еще отпишусь...
примерный текст:
скачал потестить.. очень нравиться, но вот хотелось бы 1,2, и т.д. и, если
это будет реализованно в следующих версиях, то оообязааательно уговорю начальство приобрести вашу замечательную программу...
Заранее благодарю за оперативность.
bufon вне форума   Ответить с цитированием Вверх
Старый 13.11.2006, 14:31   #20
kliv
Песака
 
Аватар для kliv
 
Регистрация: 03.04.2006
Адрес: г.Новочеркасск
Сообщений: 133
По умолчанию

Цитата на клиентах админские права для их машин
Если сеть с доменом, то можно локальному админу запретить доступ ко многим настройкам
kliv вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 11:59. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях