мне тоже интересно стало, приду на работу проверю

Так и есть.

PS: речь идет о пользователях импортированных из AD ?

Итак, добрался я до работы :)

Настройка интеграции Active Directory и Kerio Winroute Firewall для автоматической аутентификации пользователей через Intenet Explorer

Цель:
Настроить импорт пользователей из Active Directory, сделать прозрачным логин пользователя домена на KWF, а так же пользователей не являющихся членами домена.

Требования:

1. Корректно работающий домен под windows 2000 или windows 2003
2. Active Directory работает в mixed mode
3. Права администратора домена :)

Заходим во вкладку Users -> Active Directory и ставим галочки на Map User Accounts from the Active Directory Domain to Kerio Winroute Firewall и Enable NT domain authentication for this domain.

В поле Active directory domain name прописываем имя домена с суффиксом, предположим, что domain.local

В поле Domain Access прописываем имя пользователя, имеющего права на работу с Active Directory (в моем случае это администратор домена)

В поле NT domain name authentication for this domain прописываем имя домена без суффикса, т.е. просто domain

При желании можно указать конкретный контроллер домена (кнопка Advanced...)

Скриншот:
http://keep4u.ru/full/061120/0ae913cec8b357672c/jpg

Переходим во вкладку Authentication Options
Ставим все галки которые есть, т.е.:
Always require user to be authenticated when accessing web pages
Enable user authentication automatically performed by web browsers
Automatically logout users when they are inactive (у меня стоит 10 минут)
Enable Active Directory/Kerberos authentication
В полях Active Directory Domain Name и NT domain authentication прописываем имя домена без суффикса, т.е. domain
Во вкладке Configure Automatic Import... никаких галок нет.

Скриншот:
http://keep4u.ru/full/061120/5f01c864fa2ff3a1ef/jpg

Теперь во вкладке User Accounts появились импортированные пользователи с Active Directory, редактировать, менять группы и удалять их непосредственно из KWF нельзя. Можно просто отключить ненужные учетные записи (поставить Account Disabled) и скрыть их (галка Hide disabled user Accounts).
Те, компьютеры, которые не входят в домен domain прописываем в Local User Database (и там уже как кому удобно, у меня стоит аутентификация по IP, т.к. он жестко привязанам к ним по MAC-адресу)

Скриншот:
http://keep4u.ru/full/061120/1f43ecd5558142e729/jpg

Заходим во вкладку Logs -> Debug, ставим в Messages -> Miscellaneous галочку на User Authentication и смотрим как пользователи автоматически аутентифицируются ;)

Скриншот:
http://keep4u.ru/full/061120/40d050b206dcf2c4aa/jpg

Вот что видно в логе, при запуске Internet Explorer пользователем tester в домене domain:
Для пользователя tester это совершенно прозрачно, никаких паролей для доступа к страницам он не вводит.

Вроде бы все. Отвечу на любые вопросы по этому тексту.

интересно с какой версии это заработало?

KakA

У меня стоит 6.2.2 1746

1) Стоит 6.2.3 b2027. Аутентификация из AD автоматом из браузера не проходит :(, хотя галочки стоят также как и у Ascetic.
Доступ в инет (на непрозрачный прокси) разрешен только юзерам из группы AD Internet Access, но данное правило не работает... Пришлось ваять логин скрипт со скрытым запуском IE и переходом на страницу аутентификации KWF... :(

2) как убрать отображение работы определенной группы пользователей в HTTP и Web логах? причем не всей работы, а только части (например, при соединении на определенный порт)...

Из собственного опыта: Аутентификация из AD не работает с русскими именами пользователей. Обойти можно только редактированием users.cfg. правда в тогда статистике будут крякозяблики для таких пользователей, но этим пришлось пожертвовать.

Что пишется в Debug-логе при попытке авторизации?

Никак.

Ничего не пишется. Пакеты дропаются на Default rule.

Вот правила доступа:
name=(HTTP Proxy Access) src=(user:"ece9fd32-4130-453d-b901-2b4ef493804a") dst=(Firewall) service=("HTTP Proxy" "Ping") snat=(any) dnat=(any) action=(permit), time_range=(always) inspector=(default)

name=(Firewall -> Internet) src=(Firewall) dst=(iface:"Internet") service=("HTTP" "HTTPS" "FTP" "DNS" ) snat=(any) dnat=(any) action=(Permit), time_range=(always) inspector=(default)

ece9fd32-4130-453d-b901-2b4ef493804a - группа AD - Internet Access

PhoenixUA

А как пользователи вообще определяются винроутом? По ip?
Дебаг-лог настроен как на скриншоте?
http://keep4u.ru/full/061120/40d050b206dcf2c4aa/jpg
Вообще я плохо понимаю что у тебя работает или не работает. Распиши все подробно, т.е. как заведены пользователи, скрин правил, и что в итоге надо получить. Если что стукни в асю (номер в профиле).

А если задать правило, открывающее доступ на этот ресурс и поместить его _перед_ правилом, открывающим доступ ко всему остальному? При чем использовать открытие именно порта 80, не включая инспектор протокола HTTP ?
Керио его при таком раскладе не цепляет в качестве траффика веба.
У меня так работает.
С другой стороны, у меня не работает такая авторизация прозрачная через АД, как у тебя. Импорт работает, но лишь только импортирует во внутреннюю базу. Опиши подробнее, какая конфа сети, сервак с керио в домене или нет, какой режим домена, какая система на сервере.

Он должен создать базу отдельную от локальной, это скорее не импорт, а "маппинг".
Небольшая сетка из 30 компов, какая еще конфа может быть?;
комп с керио естественно в домене;
что значит "режим домена" ?
система на сервере - windows 2000 sp4 (на нем же DNS, DHCP)
Active Directory - в смешанном режиме.
Как задать конкретный ресурс в правилах? А лучше, покажи скриншот.

Такой вопрос: почему при запросе адреса в Опере, к примеру, внизу горит надпись "подключение к www.power.ru или www.yadro.ru"? Это что, спамят DNS - сервера? Кстати, если в правилах разрешить в NAT PING, то в командной строке IP адреса быстрее откликаются. Как это влияет на безопасность?

KWF 6.2.2

С некоторого времени стало невозможным получить доступ к списку пользователей (Users and Groups - Users). При обращении какое-то время (секунд 5-6) думает, потом обламывает, при этом внизу пишет "Timeout" а в логах -
(8503:85) Active Directory/LDAP error: ххххх.хх: Timeout

Список групп выводит, а пользователей - никак.

Где копать?

Ну очевидно, что не может подключиться к AD. Смотри последнюю закладку, проверяй пользователя и пароль там. Там нужно указать пользователя который является админом домена.

На этой вкладке все ОК. Админ, пароль, все перепроверено.... И к тому же группы-то выводит :confused:

Группы берутся из локальной базы, юзеры из локальной и сверяются с AD.

Ладно, сформулируем вопрос по-другому.
Список пользователей и раньше грузился "через раз", т.е. периодически сообщение о тайм ауте появлялось, но достаточно было ткнуть пару раз и он таки догружался. Сейчас резко увеличиласьт нагрузка на почтовый сервер (он же прокси) в связи с тем, что существенно увеличилось кол-во пользователей интернета, и теперь список пользователей загружаться перестал совсем.

Как можно увеличить время тайм-аута?

Подскажите пожалуйста решение следующего вопроса. Была офисная сеть из 7 машинок с IP 192.168.1.*. Выходили в И-нет через машину на которой стоял Winroute 6.*.*. Всё работало великолепно. Потом провайдер сделал VPN соединение и теперь у меня не получается настроить выход в интернет через VPN. Мои действия были следующие:

1. Воспользовался Wizard-ом Winrout-а, указав в качестве внешнего интерфейса VPN соединение.
2. Второй сетевой интерфейс как был, так и остался настроенным на внутреннюю сеть.

Я думал визард пропишет все разрешения и маршруты сам, и вроде бы всё на мой взгляд нормально прописано. Но в интернет никто не может выйти кроме иашины на которой Winrout. Сносил пару раз и пытался устанавливать заново Winrout но проблема остаётся. Чувствую, что где то что то делаю не так. Читал хелп по winrout но там рассматриваются более сложные вопросы. Всякие мануалы по настройке ничего конкретного не говорят. Спросил у знакомого сетевика он сказал что один раз у него получилось настроить, а в остальных случаях не смог. Спросил у провайдера, так тот предложил купить маршрутизатор настроить на нём VPN и подключить к нему все машины и всё будет в ажуре. Может кто из знающих людей подскажет как это сделать в Winrout. Желательно прям по пунктам, чтобы знать где ошибаюсь.

Я сразу скажу - я в сетях человек новый. Поэтому сильно не ругайте если, что то не так сформулировал. Заранее благодарен.

Нужен совет.
Возможно ли в Винроуте 6 сделать следующее:
Стоит Винроут, раздает инет по пользователям с авторизацией по IP адресам без прокси через НАТ.
У всех пользователей есть месячная квота на доунлоад трафик.
Все работает прекрасно.
Так вот вопрос:

Возможно ли сделать так чтоб у пользователей в не зависисмости от квоты ВСЕГДА работала аська?
т.е. даже если квота на даунлоад трафик кончилась, аська продалжала бы работать...
Может как то порт мепинг настроить ? или еще что? не могу придумать... :idontnow:

Source: Local Network
Destination: Internet (Для пущей важности можно ограничить только сетью AOL: 205.188.0.0/16 и 64.12.0.0/16, но тогда возможно перестанут работать всякие там RamblerICQ и иже с ними)
Service: ICQ, HTTPS
Action: Permit
Translation: NAT (Default Outgoing Interface)

З.Ы. Забыл сказать, поставь это правило выше того, что у тебя раздает интернет.

2 Oaxa
Два вопросика:
А HTTPS то зачем?

И разве для "квоты" юзвера не без разницы каким в по порядку идет правило?
ИМХО главное что "внешний трафик" и "квота выработана" - "нет новых конектов"?

Дело в том, что в настройках некоторых ICQ-клиентов есть возможность подключаться к серверу ICQ через защищенное соединение (не помню, как это правильно звучит), и в этом случае клиент подключается именно через 443-й порт. Это, конечно, необязательно, но возможно некоторым придется снимать эту галку в настройках клиента.
А вот тут я погорячился, не учел, что авторизация идет по IP. Думать надо. Простое решение как-то сразу в голову не приходит. Сложное - всегда успеем.

пробовал извращенее в виде правила:

Source: Local Network
Destination: Firewall
Service: ICQ
Action: Permit
Translation: NAT (Default Outgoing Interface) и добавил Destination NAT
login.icq.com 5190

не покатило...

пока идей больше нет

В АСЬКИных клиентах соответственно указывал сервером ICQ свой фаирвол

Destination: Firewall и Translation: NAT одновременно не имеют смысла (IMHO).
Могу предложить сложное решение(пока думаю над простым, или пока Mr.Cartman не выдаст что-нибудь гениальное):
Повторяю, решение должно прокатить, но через... одно место.
Создаешь отдельного пользователя (предположим, icq/icq), создаешь под него правило типа:
Source: icq
Destination: Internet
Service: ICQ
Action: Permit
Translation: NAT (Default Outgoing Interface)
Квоту ему не назначаешь. И, собственно, подводные камни, с которыми придется столкнуться:
1. необходимо будет включить и настроить прокси-сервер.
2. на всех ICQ-клиентах в настройках использовать прокси с авторизацией icq/icq
3. запретить пользователю icq что-либо, кроме ICQ.
Одним словом, муторно. Мне даже стыдно предлагать этот вариант. А что мешает сделать авторизацию по пользователям (без привязки к IP)?

К слову, у меня это реализовано так: после превышения квоты я не отрубаю интернет совсем, а ограничиваю скорость до 4 кб/сек. для ICQ этого более, чем достаточно. К тому же, если кому-то вдруг что-то срочно потребовалось в инете, а квота закончилась, они больше не прибегаюют с просьбами типа "Включи пожалуйста на 5 минут, ну очень уж надо...", если надо - потерпят и 4 кб/сек. По-моему, вполне гуманно.

Мне тоже ничего крассивого в голову не приходит...
Я бы поднял на ваерволе еще один простенький прокси (на левом порту) с поддержкой каскадирования и направил его на винроутовский прокси.
Вот только как с безопастностью быть, ведь если юзера прознают - начнут через него в инет лазить...

В правило фаервол-сеть прова добавь сервисы PPTP и GRE

нужна помощь:)
есть машина с выходом в интернет чрез локальную городскую сетку
рядом в квартире стоит другая машина, с первой соединена в сетку
хотел расшарить инет на вторую машину и поставил с эжтой целью WinRoute 4.25. Вроде проделал все, что для этого советует help: поставил преобразование адресов на интернетовской карте и отключил на домашней, включил ретрансляцию DNS. Но интернета на второй машине так и не появилось:) Зато появились большие тормоза при работе с расшаренными папками через Total Commander.
Я что-то не так делаю?:)

Поставил Kerio Winroute (6.2.3-2027) настроил правила, после этого весь трафик стал блокироваться, работает только пинг. Даже установка первым правила разрешить всем все не помогает, после выключения керио все опять прекрасно работает. В логах керио при этом ничего не показывает.

Кто-нибудь в курсе в чем может быть проблема??

я перечитал кучу документации и хелпов по настройке WinRoute, перепробовал всевозможные настройки, пытался смотреть логи, но получить общий доступ из локальной сетки во внешнюю мне не удалось. Единственный вариант - браузер на второй машине заработал через поднятый на первой прокси... но это очень частный случай, хотелось бы получить вторую машину с теми же возможностями, что и первая (подключенная непосредственно к внешней сети). Единственное что осталось - побеседовать с тем, кто хорошо разбирается в вопросе и у кого все работает, в реалтайме:) Если найдется желающий - скиньте контакт в личные:)

Вопрос к знатокам Керио Винроут Файрвол:
Как его настроить чтобы из логов исключались определенная группа адресов? Есть ли вообще такая возможность, потому как ковыряние хелпа и инета не помогло.
Kerio Winroute 6.2.3 2027

Насколько я знаю сделать этого нельзя.

Сделал однако!
Опция при настройке политики трафика "Анализатор Протокола (Protocol Inspector)". Создал определенную политику (правило) и поставил там "none" вместо "default"! Теперь траф туда, куда я указал не анализируется, а соответственно не пишется в логи!

Джонович, ниче не понял... Протокол инспектор выбирается в сервисах. Отдельно он нигде не настраивается вроде как.
Мы точно о винроуте разговариваем?

Kerio Winroute 6.2.3 2027

В настройках политик включаешь галочку показывать все колонки и там, в последней он родимый и есть! :yees:

Джонович, хм, интересно как при этом будет вести себя статистика, т.е. куда будет списываться неучтенный траффик.
А я видимо теряю квалификацию, спасибо за наводку.

Cartman, в статистике этот траф пропал напрочь, как и нужно было. Проверено! Траф не списывается, он просто не анализируется и не учитывается. Вот такая вот недокументированная особо фишка. :-)

Если вспомнить -на форумах часто встречаются вопли новичков что "поставил КВФ, а логи-ЧИСТЫЕ!! ЧТО делать??" :)

Это вряд ли как-то связано именно с обсуждаемым вопросом. Скорее всего у новичков причины и проблема другие.

Начальник обязал установить программу по учету трафику и посещаемости сайтов. Я выбрал Internet Access Monitor для WinRoute v3.2! Она берет инфу из лог-файлов. Так вот в самом Internet Access Monitor я отключил себя любимого, а как заставить фильтровать в самом WinRoute определенных людей (IP)?