progmike
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GOODmen
для начала.. зачем Вам НАТ, если используете непрозрачный прокси? (или наоборот)
потом, о каком клиенте керио Вы говорите? Kerio VPN client? эта программа используется ТОЛЬКО для подключения к VPN и к локальной сети отношения имеет мало
и, нет, для авторизации с использованием АД клиент не нужен
Керио не привязывает имя пользователя АД к хосту - любое имя пользователя из АД может быть использовано на любом комьютере сети но только один раз - одновременно два пользователя с одного хоста не получится
для нормальной работы авторизации АД нужно:
1. разрешить НАТ из Доверенные/Лоакльные в Интернет по протоколу ХТТП
2. разрешить НАТ из Группы юзеров в Интерент по всем остальным нужным протоколам
3. в политиках ХТТП разрешить Группе юзеров выход в нет
4. в политиках ХТТП для Не_авторизованных включить переадресацию на страницу запрета (на этой странице есть кнопочка Авторизоваться - на случай, когда не сработало НТЛМ)
5. в настройках пользователей установить галочки: Требовать авторизации для доступа к ВЕБ и Выполнять авторизацию браузером
6. настроить веб-браузер для использования НТЛМ (эксплорер: добавить имя машины с керио в доверенные, файерфокс: about:config, заполнить параметры по фильтру NTLM, опера: хз)
в результате получим:
если пользователь еще не авторизован, то:
1. никуда и никто с этого компа доступа не получит
2. при попытке открыть любую веб-страницу произойдет переадресация на страницу входа керио. Если авторизация НТЛМ пройдет удачно - вторая переадресация на запрашиваемую страницу. Если нет НТЛМ - страничка с вводом имени/пароля для ручной авторизации.
После этого все получат доступ туда, куда прописано правилами НАТ (второе правило)
Цитата: нат настроен так - from:доверенный/локальный -> интернет. политики http - разрешить избранным группам, потом запретить всем.
...
почему без авторизации керио выпускает миранду, и касперский успевает скачать несколько файлов при обновлении? |
потому, что в Вашем случае НАТ прописан по всем протоколам, а политики ХТТП работают ТОЛЬКО для протокола ХТТП.
Единственное ограничение у Вас - по политикам ХТТП, значит, любой комп из Доверенных/Локальных получит НАТ-доступ по любому другому порту, кроме ХТТП
И только после авторизации политика ХТТП разрешит доступ по ХТТП (ничего не отключив при этом)
Следует учесть, что описанной мной схемой может воспользоваться только браузер. Попытки клиента аськи или миранды на подключение ни к чему не приведут - они не умеют проходить авторизацию НТЛМ и, тем более, выводить окошко со страницей отказа керио.
Если нужно, что бы кто-то или что-то все-же могли пройти авторизацию (та же аська, например), тогда (и только тогда) в керио стоит включить непрозрачный прокси. В аське тем временем, нужно указать адрес прокси, имя и пароль.
В этом случае аська (или миранда) при запуске выдадут керио пароль и, тем самым, авторизуют пользователя для полного доступа к правилу НАТ.
Но я бы так не делал... Вместо этого у меня, например, в доменной политике лежит скрипт входа пользователя в систему (и выхода, соответственно), который при входе запускает скрытое окно эксплорера, авторизуется и закрывается.
Добавлено:
ну и в догонку....
Вопрос, уважаемые:
Kerio Control Software Appliance 7.1.0
в настройках протоколов имеется возможность отсылать сообщения на внешний syslog-сервер
каждый тип сообщений имеет некое значение Severity (уровень критичности), соответственно, sysylog-сервер можно настроить на фильтрацию поступающих сообщений по этому признаку
Например, протокол Alert имеет значение по-умолчанию Severity = 1, HTTP = 6 и т.д.
Хочу использовать syslog-сервер для сбора логов с серверов kerio для дальнейшего анализа, НО
в керио по-умлочанию протоколы HTTP и Connection имеют одинаковый вес = 6 и они на syslog-сервере совершенно не различаются, а значит, валятся в одну кучу
анализу эта куча в результате слабо поддается
Как изменить или разрулить это безобразие?
ЗЫ. Для анализа хотелось бы использовать Internet Access Monitor. Ему для работы нужно два лога: Http и Connection
Добавлено:
Yaromaxx
а каким образом "кэш на таких сайтах отключен" ?
думается мне, проблема в кэше самого керио |
