Http control pmsvu local 4080 nonauth deny php
Автоматическая авторизация пользователей из Active Directory в Kerio Control
Есть Active Directory на windows 2012R2, межсетевой экран Kerio Control:9.2.6
Нажанл на кнопочку «Дополнительно»- в поле «Взаимодействие с Microsoft Active Directory» поставил галочку на против » Спопоставлять пользователей из Microsoft@ Active Directory и аутентифицированных пользователей локальной базы данных».
Вот с правилами не знаю, не уверен, нашел в инете такое решение (исправьте пожалуйста если ошибаюсь):
Далее на домене в политиках конфигурации пользователя, что сделал:
Подключил два скирпта для подключения и отключения пользователей:
// скрипт автоматического logon на хосте с Kerio Control
// для работы скриптов NTLM должен быть настроен и работать корректно
// установить через GPO для пользователей домена
// скрипт автоматического logoff на хосте с Kerio Control
// для работы скриптов NTLM должен быть настроен и работать корректно
// установить через GPO для пользователей домена
Вот тут как не совсем эти скрипты, но последловательность действий добавления
скриптов в Active Directory описывается.
https://manuals.gfi.com/en/ker. 0directory
В политиках домена в политиках компьютера отключил UAC.
И в барузере установил все
делал согласно этой ссылке (автоматический вход в сеть с текущем именем пользователя и пароля):
https://manuals.gfi.com/en/ker. directory/
automatic-user-authentication-using-ntlm-735.html.
вот статья по которй примерно старался делать:
http://sysadmins.ru/viewtopic. &view=next
и еще вот тоже интересная:
http://www.winroute.ru/forum/v. highlight=
active+direc&start=0&sid=9cc304c6ed0cf809dd5610e304fdae24
Не удается отобразить эту страницу
•Убедитесь, что веб-адрес http://control:4081 правильный.
•Найдите страницу с помощью поисковой системы.
•Обновите страницу через несколько минут.
Надеюсь может кто-нибудь мне поможет в этом деле. Очень хочется разобраться где моя ошибка.
Спасибо.
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Бесплатный прокси-сервер для предприятия с доменной аутентификацией
pfSense+Squid с фильтрацией https + Технология единого входа (SSO) с фильтрацией по группам Active Directory
Краткая предыстория
На предприятии возникла необходимость во внедрении прокси-сервера с возможностью фильтрации доступа к сайтам(в том числе https) по группам из AD, чтобы пользователи не вводили никаких дополнительных паролей, а администрировать можно было с веб интерфейса. Неплохая заявочка, не правда ли?
Правильным вариантом ответа было бы купить такие решения как Kerio Control или UserGate, но как всегда денег нет, а потребность есть.
Тут то к нам и приходит на выручку старый добрый Squid, но опять же — где взять веб интерфейс? SAMS2? Морально устарел. Тут то и приходит на выручку pfSense.
Описание
В данной статье будет описан способ настройки прокси-сервера Squid.
Для авторизации пользователей будет использоваться Kerberos.
Для фильтрации по доменным группам будет использоваться SquidGuard.
Для мониторинга будет использован Lightsquid, sqstat и внутренние системы мониторинга pfSense.
Также будет решена частая проблема, связанная с внедрением технологии единого входа (SSO), а именно приложения, пытающиеся ходить в интернет под учеткой компа\своей системной учеткой.
Подготовка к установке Squid
За основу будет взят pfSense, Инструкция по установке.
Внутри которого мы организуем аутентификацию на сам межсетевой экран с помощью доменных учеток. Инструкция.
Перед началом установки Squid необходимо настроить DNS сервера в pfsense, сделать для него запись A и PTR записи на нашем DNS сервере и настроить NTP так, чтобы время не отличалось от времени на контроллере домена.
А в вашей сети предоставить возможность WAN интерфейсу pfSense ходить в интернет, а пользователям в локальной сети подключаться на LAN интерфейс, в том числе по порту 7445 и 3128 (в моем случае 8080).
Всё готово? С доменом связь по LDAP для авторизации на pfSense установлена и время синхронизировано? Отлично. Пора приступать к основному процессу.
Установка и предварительная настройка
Squid, SquidGuard и LightSquid установим из менеджера пакетов pfSense в разделе «Система/Менеджер пакетов».
После успешной установки переходим в «Сервисы/Squid Proxy server/» и в первую очередь во вкладке Local Cache настраиваем кеширование, я выставил все по 0, т.к. не вижу особого смысла кешировать сайты, с этим и браузеры прекрасно справляются. После настройки нажимаем клавишу «Сохранить» внизу экрана и это даст нам возможность производить основные настройки прокси.
Основные настройки приводим к следующему виду:
Порт по умолчанию 3128, но я предпочитаю использовать 8080.
Выбранные параметры во вкладке Proxy Interface определяют какие интерфейсы будет слушать наш прокси сервер. Так как этот межсетевой экран построен таким образом, что в интернет он смотрит WAN интерфейсом, даже при том что LAN и WAN могут быть в одной локальной подсети, рекомендую для прокси использовать именно LAN.
Лупбек нужен для работы sqstat.
Ниже вы найдете настройки Transparent (прозрачного) прокси, а также SSL Filter, но они нам не нужны, наш прокси будет не прозрачным, а для фильтрации https мы не будем заниматься подменой сертификата(у нас ведь документооборот, банк-клиенты и тд), а просто посмотрим на рукопожатие.
На этом этапе нам необходимо перейти в наш контроллер домена, создать в нем учетную запись для аутентификации(можно использовать и ту что настроили для аутентификации на сам pfSense). Здесь очень важный фактор — если вы намерены использовать шифрование AES128 или AES256 — проставьте соответствующие галочки в настройках учетной записи.
После этого всего формируем файл ключей для кербероса, на контроллере домена открываем командную строку с правами администратора и вводим:
Теперь мы можем отредактировать\создать /etc/krb5.conf
где /etc/krb5.keytab это созданный нами файл ключей.
Обязательно проверьте работу кербероса с помощью kinit, если не работает — дальше нет смысла читать.
Настройка аутентификации Squid и списка доступа без аутентификации
Успешно настроив керберос прикрутим его к нашему Squid`у.
Для этого перейдите в Сервисы\Squid Proxy Server и в основных настройках опуститесь в самый низ, там найдем кнопочку «Расширенные настройки».
В поле Custom Options (Before Auth) введем:
uде auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth — выбирает необходимый нам хелпер керберос аутентификации.
Ключ -s с значением GSS_C_NO_NAME — определяет использование любой учетной записи из файла ключа.
Ключ -k с значением /usr/local/etc/squid/squid.keytab — определяет использовать именно этот кейтаб файл. В моем случае это тот же сформированный нами кейтаб файл, который я скопировал в директорию /usr/local/etc/squid/ и переименовал, потому что с той директорией сквид дружить не хотел, видимо прав не хватало.
Настройка SquidGuard
Переходим в Сервисы\SquidGuard Proxy Filter.
В LDAP Options вводим данные нашей учетной записи, используемой для керберос аутентификации, но в следующем формате:
Если есть пробелы и\или не латинские символы всю эту запись стоит заключить в одинарные или двойные кавычки:
Далее обязательно ставим эти галочки:
Чтобы отрезать ненужные DOMAIN\pfsense DOMAIN.LOCALк которым вся система очень чувствительна.
Теперь переходим в Group Acl и привязываем наши доменные группы доступа, я использую простые наименования в духе group_0, group_1 и тд до 3, где 3 — доступ только в белый список, а 0 — можно всё.
Привязываются группы следующим образом:
сохраняем нашу группу, переходим в Times, там я создал один промежуток означающий работать всегда, теперь переходим в Target Categories и создаем списки по своему усмотрению, после создания списков возвращаемся в наши группы и внутри группы кнопочками выбираем кто куда может, а кто куда — нет.
LightSquid и sqstat
Если в процессе настройки мы выбрали лупбек в настройках сквида и открыли возможность заходить на 7445 в фаерволле как в нашей сети, так и на самом pfSense, то при переходе в Диагностика\Squid Proxy Reports мы без проблем сможем открыть и sqstat и Lighsquid, для последнего нужно будет там же придумать логин и пароль, а также есть возможность выбрать оформление.
Завершение
pfSense очень мощный инструмент, который может очень много всего — и проксирование трафика, и контроль над доступом пользователей в интернет это лишь крупица всего функционала, тем не менее на предприятии с 500 машинами это решило проблему и позволило сэкономить на покупке прокси.
Надеюсь данная статья поможет кому-нибудь решить достаточно актуальную для средних и крупных предприятий задачу.
Доступ к запрашиваемому объекту доступен только из локальной сети phpmyadmin
Я только что установил xampp 1.8.0 для linux, и когда я открыл phpmyadmin, я получил эту ошибку Доступ Запрещен!!
пробовал этой пост, но не повезло. пожалуйста помочь. Я открываю его с моего собственного ПК, а не из какой-либо другой сети.
7 ответов
откройте http.файл conf
комментарии «отрицать от всех» в следующем разделе
Edit:
Попробуйте добавить «Allow from all» перед строкой «ErrorDocument». Надеюсь, это поможет.
добавление к ответу Sekar
Не забудьте перезагрузить сервер XAMPP
обновить принятый ответ:
теперь вам нужно прокомментировать требование local
если ниже вы видите сообщение об ошибке, при попытке в phpyAdmin :
вы можете сделать следующее (Для XAMPP, развернутого в UNIX-системе): Вы можете попробовать изменить настройки
и измените настройки безопасности на
First-comment PL module, second-change config для каталога узлов. После этого вы должны перезапустить httpd демон
ничего не работало для меня, но вот что было удивительным:
который находится на
3) Теперь просто добавьте требовать все предоставленные до
4) таким образом, код будет выглядеть следующим образом
AllowOverride AuthConfig Limit Order allow,deny Allow from all Require all granted
5) Теперь, наконец, перезапустите xampp с помощью этой команды /opt/lampp/lampp перезапустить
вот и все, и вы сделали!
Он также работает с xampp. 🙂
Эй, используйте этот раздел кода.
путь для xampp: apache\conf\extra\httpd-xampp.conf
после установки «Allow from all» вам нужно перезапустить xampp, чтобы применить настройку. спасибо
Удаленное управление сеансом пользователя windows стандартными средствами
Однажды мне захотелось управлять одним из домашних компьютеров удаленно, но при этом взаимодействовать с текущим пользователем, но компьютер был довольно слабый и при запуске например TeamViewer’а нагрузка процессора поднималась до 98% и компьютер начинал заметно тормозить. Попробовал стандартный RDP, но тогда «выбивался» текущий пользователь и для входа локально приходилось набивать пароль. Но чуть позже мне случайно попалась команда shadow.
Наблюдать за другим сеансом служб удаленных рабочих столов.
SHADOW < | >[/SERVER: ] [/V]
Имя сеанса.
Идентификатор сеанса.
/SERVER: Сервер терминалов (по умолчанию текущий).
/V Отображение информации о выполненных действиях.
Тогда получается что запускается всего 2 процесса.
Для того что бы все это работало нам необходимо сначала включить RemoteRPC, например через реестр:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
“AllowRemoteRPC”=dword:00000001
После этого можно будет через Диспетчер служб удаленных рабочих столов посмотреть какие пользователи залогинены на компьютере, какие у них id и какие процессы запущены (жаль только названия, нет информации о нагрузке).
По умолчанию пользователю будет задаваться вопрос с разрешением управления, можно отключить вопрос или сделать только удаленное наблюдение, меняется через реестр:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
«Shadow»=dword:0000000x
По умолчания этой строчки вообще нет и её нужно будет создавать.
Так же можно включить через групповые политики локальные или доменные. Для включения локально запускаем gpedit.msc — выбираем административные шаблоны — добавление и удаление шаблонов, добавляем System.adm из папки WINDOWS\inf
Теперь настраиваем: конфигурация компьютера — административные шаблоны — компоненты windows — службы терминалов — устанавливает правила для удаленного управления. Для windows xp.
И конфигурация компьютера — административные шаблоны — компоненты windows- службы удаленных рабочих столов – узел сеансов удаленных рабочих столов – подключения – устанавливает правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов. Для windows 7.
Все это работает и в домене, если у пользователя есть соответствующие права.
В доменных настройках профиля пользователя тоже есть настройка подобных прав (я встречал эти настройки даже в домене win 2000)
Если рассматривать терминальный сервер, то там через свойства RDP(через конфигурация узла сеансов удаленных рабочих столов) можно выставить любому пользователю права на удаленное управление,
и отдельно настроить взаимодействие или управление удаленным сеансом.
Для удобства можно подключаться через диспетчер задач
Retifff’s Blog
Мой ИТ блог
Рубрики
Календарь
| Пн | Вт | Ср | Чт | Пт | Сб | Вс |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 |
Архив
Метки
Сертификаты
Админские блоги
Сайты
Форумы
IRC-канал сисадминов
irc.forestnet.org
#sysadminz.ru:6667 (6662, 6669, 5190)
Обязательна регистрация:
/ns register e-mail пароль
Кодировка UTF-8
Автоматическая авторизация в Kerio Winroute пользователей из Active Directory
Posted by Retifff на 11.04.2010
Внимание! Статья не закончена! И вообще это черновик.
Задача: пользователи сети должны выходить в интернет только после авторизации на Kerio Winroute, автоизация должна быть незаметной для пользователей (NTLM), пользователи должны иметь возможность выходить в интернет с любого компьютера локальной сети, т.е. без привязки к IP-адресу своего компьютера.
Исходные данные: настроенная локальная сеть с работающим DNS в первую очередь, настроенный Kerio Winroute для всех пользователей. Кто не читал мои статьи ПРАВИЛЬНАЯ настройка DNS и сетевых интерфейсов. и Kerio Winroute Firewall: ПРАВИЛЬНЫЕ Traffic Policy. сделайте это сейчас. Они немного устарели, в связи с выходом новых версий Kerio Winroute, но принципиально все верно.
Есть домен testcompany.local, есть контроллер домена dc01 с DNS-сервером на нем, есть рядовой сервер gate (тоже в домене, это необязательное условие автоматической авторизации) с установленным и на нем Kerio Winroute. В этой статье рассматривается версия 6.7.1 Patch 2, самая актуальная на момент написания статьи.
Mapping пользователей из Active Directory
В первую очередь нам нужно настроить подключение Kerio Winroute к Active Directory (так называемый user mapping). Для него нужно настроить автоматический mapping пользователей из AD.
Для этого заходим в KWF > Users and Groups > Users > вкладка Active Directory, ставим галку в Use domain user database и вводим там необходимые нам данные:
Username — имя пользователя домена для подключения к базе AD (достаточно прав обычного пользователя). Я рекомендую создать специльного пользователся для подключения, (например, kwf_service) и поставить ему галки «Password never expires» и «User cannot change password», чтобы в один прекрасный момент у вас не отвалилось подключение к Active Directory.
Password — пароль этого пользователя.
Для проверки открываем вкладку User Accounts, в выпадающем списке Domain меняем Local User Database на нашу testcompany.local и видим пользователей из AD. Если их нет, то либо учетная запись, используемая для подключения, либо пароль неверны.
Далее, заходим на оставшуюся вкладку Authentication Options и ставим там галки таким образом:
Потом заходим в Configuration > Advanced Options > вкладка Web Interface / SSL-VPN и снимаем галку с Enable HTTPS (SSL-secured) Web Interface. Естественно, если вам не требуется доступ к веб-интерфейсу по SSL.
Следующим шагом необходимо настроить Traffic Policy таким образом, чтобы работала наша автоматическая авторизация. Вот скриншот уже готовых правил:
Правило NAT no Auth — это правило без аутентификации, которое нужно для того, чтобы разрешить неаутентифицированному пользователю при попытке открыть любой веб-сайт попасть на страницу аутентификации KWF (куда он перенаправляется вследствие наших предыдущих настроек). Там он аутентифицируется либо вручную, либо автоматически с помощью NTLM и после этого уже отрабатывает правило NAT Auth Users, которое определяет доступные протоколы для аутентифицированных пользователей.
Готово, можно проверять. Однако запустив браузер у клиента, вы с удивлением обнаружите окно авторизации Kerio Winroute. Можно конечно ввести пользователя и пароль и доступ к интернету появится, но нам нужна прозрачная, NTLM-авторизация, чтобы пользователь авторизовывался под той же учетной записью, что и логинился в систему. Для этого, заходите в свойства Internet Explorer, вкладка Безопасность > выбираете зону Интернет и нажимаете кнопку Другой уровень. В открывшемся окне находите Проверка подлинности пользователя > Вход > ставите селектор на Автоматический вход в сеть с текущим именем пользователя и паролем (User Authentication > Logon > Automatic logon with current user name and password). Все, проверяете, на этот раз при переходе по какому либо интернет-адресу должно только мигнуть окно редиректа на сервер с Kerio Winroute и вы попадете на искомую веб-страницу.
У каждого пользователя так делать ни к чему конечно, потому что есть групповые политики. Эта политика находится здесь: User Configuration > Windows Settings >Internet Explorer Maintenance > Security > Security Zones and Content Ratings > Security Zones and Privacy > Internet (Security Level: Custom) >User Authentication >Logon > Automatic logon with current username and password.
Впрочем, даже после того, как мы все это сделаем, возникает еще один такой неприятный момент, до тех пор, пока пользователь не авторизовался на KWF, доступ в интернет он не получит (что логично), также выход в интернет будет закрыт и для всех остальных протоколов, например POP3, ICQ и т.п. Получается, что каждому пользователю, перед тем как воспользоваться аськой или почтой по POP3, придется сначала зайти на какую-либо страничку в Internet Explorer. Чтобы не напрягать этим пользователей, можно написать простейший скрипт, который запускает IE, заходит на какую-либо страничку (например стартовую KWF) и соответственно авторизуется там.
Таких скрипта мы используем два, один для Logon, другой для Logoff.