Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages: [1]
1
Russian / Re: Замена паролля пользователем в Openchange
« on: April 09, 2015, 06:14:57 am »
В версии 4.1 возможность смены пароля появилась.
2
Russian / Re: Замена паролля пользователем в Openchange
« on: February 26, 2015, 12:17:41 am »К стати, на вскидку не помню такой функции, правда 2010 не использовал - только 2003 и 2007, но в них не было возможности сменить пароль.в 2003 и 2007 не скажу, не знаю, а в 2010 exchange - сделано просто здорово.
Может быть, со временем, когда допилят функционал до "2010-совместимо", такую функцию и реализуют в Z.
Причина проста. В системе стоит периодическая смена пароля. Пользователь может находиться в это время с ноутом очень далеко от работы. Когда наступает последний час Х - аутлук/почтарь в мобильнике перестает работать, так как пароль уже не работает. - Как быть? Входит через owa, а там говорится/предлагается - смени пароль! Ну или пользователь сам может выбрать в параметрах смену пароля по желанию.
Или другая ситуация, принимается сотрудник, но он на внешней площадке которая не имеет вообще никакой общей сети с офисом (у подрядчика). Ему создаешь аккаунт, что бы он мог работать с почтой. Ставишь ему временный пароль и галку сменить его при первом входе - как только логинится в owa - потребует сменить пароль.
Да разные случаи бывают!
Как можно вообще сейчас (а эта версия то не 2009 года!) делать такое не представляю. Это основы безопасности! - Возможность сменить свой пароль.
3
Russian / Re: Замена паролля пользователем в Openchange
« on: February 19, 2015, 01:11:39 am »
Интересно, и как это сочетается с позиционированием замены Windows AD + Exchange на Zentyal?? Какой-то бред...
Для моего случая сейчас это не очень критично, но для других возможных проектов это становится просто не возможным к использованию.
Куда-то не туда разработчики идут.
Для моего случая сейчас это не очень критично, но для других возможных проектов это становится просто не возможным к использованию.
Куда-то не туда разработчики идут.
4
Russian / Замена паролля пользователем в Openchange
« on: February 17, 2015, 09:19:50 am »
Установил Zentyal 4.0 , установил модуль почты, завел пользователя, выдал ему временный пароль.
Пользователь подключается и работает с почтой через веб.
Вопрос, - как он может изменить пароль из почтовой программы (веб страницы почты)? В OWA у Exchange 2010 это есть, а здесь найти не могу. Возможна ли вообще смена пароля через веб?
Пользователь подключается и работает с почтой через веб.
Вопрос, - как он может изменить пароль из почтовой программы (веб страницы почты)? В OWA у Exchange 2010 это есть, а здесь найти не могу. Возможна ли вообще смена пароля через веб?
5
Russian / Re: OpenVPN + Firewall (Zentyal 2.2 и 3.4) - блокирует TCP 8444
« on: December 30, 2014, 09:47:45 am »
Для уточнения ситуации.
Обращаю внимание/уточняю на то, что блокировкку порта наблюдал в логе фаервола. Т.е. это не сторонняя проблема.
Так же обращаю внимание на то что в списке портов используемой службы изначально ICMP не был добавлен и пинги не шли. После добавления ICMP в службу настроенную в правиле фаервола - пинги пошли. Что говорит о том что правило применяется. Т.е. само правило настроено верно.
А вот как дальше обрабатывается служба вопрос интересный.
Что в итоге вышло.
Потусовал последовательность, поудалял/посоздавал объекты и службы. В итоге блокировки прекратились после очередного включения ANY в качестве службы. Что происходит не понятно.
Надо будет потестировать еще варианты. Чуть позже, сейчас надо на канале (для чего создавалось) тесты свои провести. По результату отпишу.
Но у меняя сложилось такое впечатление что либо я все таки глаз "замылил" (давал на внешний контроль, вроде ошибок не нашли) либо проблема в айдишниках объектов. Я тут весьма активно тесты вел и всякие разные варианты всего отрабатывал, добавлял/убирал порты, правила, и может быть произошла в них путаница какая...
В общем буду позже изучать вопрос. Пока заработало буду тестить основную задачу.
Обращаю внимание/уточняю на то, что блокировкку порта наблюдал в логе фаервола. Т.е. это не сторонняя проблема.
Так же обращаю внимание на то что в списке портов используемой службы изначально ICMP не был добавлен и пинги не шли. После добавления ICMP в службу настроенную в правиле фаервола - пинги пошли. Что говорит о том что правило применяется. Т.е. само правило настроено верно.
А вот как дальше обрабатывается служба вопрос интересный.
Что в итоге вышло.
Потусовал последовательность, поудалял/посоздавал объекты и службы. В итоге блокировки прекратились после очередного включения ANY в качестве службы. Что происходит не понятно.
Надо будет потестировать еще варианты. Чуть позже, сейчас надо на канале (для чего создавалось) тесты свои провести. По результату отпишу.
Но у меняя сложилось такое впечатление что либо я все таки глаз "замылил" (давал на внешний контроль, вроде ошибок не нашли) либо проблема в айдишниках объектов. Я тут весьма активно тесты вел и всякие разные варианты всего отрабатывал, добавлял/убирал порты, правила, и может быть произошла в них путаница какая...
В общем буду позже изучать вопрос. Пока заработало буду тестить основную задачу.
6
Russian / OpenVPN + Firewall (Zentyal 2.2 и 3.4) - блокирует TCP 8444
« on: December 29, 2014, 08:17:03 am »
Какая то странная трабла. СКолько использовал Zentyal (без vpn) проблем подобных не было.
Потребовалось поднять OpenVPN и через него запустить одного клиента, использующего набор портов.
Создал объект источника с сеткой используемой для создания VPN сети (например 192.168.99.0/24)
Создал объект с IP сервера назначения опубликованной в дальнейшем в VPN (например 192.168.100.22/32)
Создал службу, включил туда все требуемые порты, включая 8444.
Создал VPN (сеть из объекта источника) и опубликовал сеть (объект сервер назначения)
Проверяю работу - не работает.
Смотрю лог.
От VPN-клиента (например с адресом 192.168.99.1) блокируются пакеты на сервер 192.168.100.22 на порту 8444.
Такое впечатление что правило не применяется.
Запихиваю в перечень портов ICMP (в исходном состоянии выключено и пинги не идут) - пинги пошли. Т.е. правило - применяется!
Но пакеты на порт TCP 8444 - блокируется.
Бред, конечно, но так происходит. Все глаза сломал, не могу понять в чем причина.
С безысходности вместо настроенной службы включаю ANY. Пинги идут все идет, порт 8444 - блокируется.
Чертовщина какая-то с этим портом. - Скорее всего чего-то недопонимаю, но что??
Потребовалось поднять OpenVPN и через него запустить одного клиента, использующего набор портов.
Создал объект источника с сеткой используемой для создания VPN сети (например 192.168.99.0/24)
Создал объект с IP сервера назначения опубликованной в дальнейшем в VPN (например 192.168.100.22/32)
Создал службу, включил туда все требуемые порты, включая 8444.
Создал VPN (сеть из объекта источника) и опубликовал сеть (объект сервер назначения)
Проверяю работу - не работает.
Смотрю лог.
От VPN-клиента (например с адресом 192.168.99.1) блокируются пакеты на сервер 192.168.100.22 на порту 8444.
Такое впечатление что правило не применяется.
Запихиваю в перечень портов ICMP (в исходном состоянии выключено и пинги не идут) - пинги пошли. Т.е. правило - применяется!
Но пакеты на порт TCP 8444 - блокируется.
Бред, конечно, но так происходит. Все глаза сломал, не могу понять в чем причина.
С безысходности вместо настроенной службы включаю ANY. Пинги идут все идет, порт 8444 - блокируется.
Чертовщина какая-то с этим портом. - Скорее всего чего-то недопонимаю, но что??
7
Russian / Фильтрация сайтов для пользователей (+ Win 2008R2 AD)
« on: August 30, 2013, 02:04:55 am »
Исходное состояние - Zentyal 2.2, используемый как гейт и прокси (политика по умолчанию Default policy - always deny), Active Directory на Windows Server 2008R2, прозрачный прокси.
Решил настроить запрет доступа в интернет к части сайтам.
Организовал network group - test_gr (суть не важно как называется), добавил в данную группу одну станцию тестирования (подопытный кролик).
Далее в Filter profiles создал новый профиль test_pf в котором добавил сайты с политикой Always deny. Threshold оставил выключенным (но пробовал по разному потом).
Далее в Object Policies на самый верх добавил объект test_gr с политикой Filter и профилем test_pf.
Теперь проверка работы.
Вариант 1.
В настройках браузера не стоит явным образом прокси (без прокси) - используем прозрачность прокси. - Фильтрация работает.
Вариант 2.
Так как прозрачный прокси не занимается проксированием https, то принудительно указываем proxy. - И вот тут получаем что интернета нет, ни один сайт не отображается, и никаких сообщений не выдается.
При этом если мы в Object Policies для объекта test_gr ставим политику Always allow то все нормально работает и никакой фильтрации сайтов не происходит даже при явно указанном прокси.
В чем трабл?
Вариант 3. выключаем прозрачность прокси и в браузере явно указываем его. - все работает и фильтрация и https.
Пока решил убрать прозрачный прокси, но есть нюанс почему так не желательно. - Можно как-то использовать фильтрацию с прозрачным прокси но так что бы при явно указанном прокси в браузере интернет все равно бы работал?
Дальнейшее развитие видел так что бы подружить Zentyal и Windows AD - что бы уже управлять не сетевыми группами/объектами Zentyal, а на уровне групп пользователей Windows Active Directory. Что бы Zentyal использовал авторизацию Windows (осуществленный на рабочей станции с которой идет соединение с прокси) перед разрешением доступа в интернет.
На сколько я знаю такое делается но как?
Решил настроить запрет доступа в интернет к части сайтам.
Организовал network group - test_gr (суть не важно как называется), добавил в данную группу одну станцию тестирования (подопытный кролик).
Далее в Filter profiles создал новый профиль test_pf в котором добавил сайты с политикой Always deny. Threshold оставил выключенным (но пробовал по разному потом).
Далее в Object Policies на самый верх добавил объект test_gr с политикой Filter и профилем test_pf.
Теперь проверка работы.
Вариант 1.
В настройках браузера не стоит явным образом прокси (без прокси) - используем прозрачность прокси. - Фильтрация работает.
Вариант 2.
Так как прозрачный прокси не занимается проксированием https, то принудительно указываем proxy. - И вот тут получаем что интернета нет, ни один сайт не отображается, и никаких сообщений не выдается.
При этом если мы в Object Policies для объекта test_gr ставим политику Always allow то все нормально работает и никакой фильтрации сайтов не происходит даже при явно указанном прокси.
В чем трабл?
Вариант 3. выключаем прозрачность прокси и в браузере явно указываем его. - все работает и фильтрация и https.
Пока решил убрать прозрачный прокси, но есть нюанс почему так не желательно. - Можно как-то использовать фильтрацию с прозрачным прокси но так что бы при явно указанном прокси в браузере интернет все равно бы работал?
Дальнейшее развитие видел так что бы подружить Zentyal и Windows AD - что бы уже управлять не сетевыми группами/объектами Zentyal, а на уровне групп пользователей Windows Active Directory. Что бы Zentyal использовал авторизацию Windows (осуществленный на рабочей станции с которой идет соединение с прокси) перед разрешением доступа в интернет.
На сколько я знаю такое делается но как?
8
Russian / Re: /etc/squid/squid.conf меняется (восстанавливается) после перезапуска прокси
« on: May 05, 2012, 05:55:19 am »
Так, в общем похоже проблема не в этом.
проверил и получается что
первая запись образована Object Policies
а вторая от Bandwidth Throttling
Почему они имеют одинаковый формат записи в конфиге не понятно, и не понятно не только мне но и squid -k rotate который и выдает ошибки по данным дублям.
Итак исходный вопрос меняется на такой: Это правильно вообще что записи по разным функциям прокси имеют одинаковый формат в конфигурационном файле сквида?
Кстати темплейт конфига сквида: /usr/share/zentyal/stubs/squid/squid.conf.mas
проверил и получается что
первая запись образована Object Policies
а вторая от Bandwidth Throttling
Почему они имеют одинаковый формат записи в конфиге не понятно, и не понятно не только мне но и squid -k rotate который и выдает ошибки по данным дублям.
Итак исходный вопрос меняется на такой: Это правильно вообще что записи по разным функциям прокси имеют одинаковый формат в конфигурационном файле сквида?
Кстати темплейт конфига сквида: /usr/share/zentyal/stubs/squid/squid.conf.mas
9
Russian / Re: /etc/squid/squid.conf меняется (восстанавливается) после перезапуска прокси
« on: May 05, 2012, 04:28:48 am »
Да, вроде нашел темплейт, но не ясно все таки- у меня дублируются строки вида
acl obje9999 src 192.168.1.111/32 192.168.1.222/32
Как получается что 2 раза объект обрабатывается? Вернее где он задублировался?
Как я понял в темплейте за формирование таких строк отвечает участок:
<%def .objectsACLs>
<%args>
@objectsPolicies
</%args>
% foreach my $objPol (@objectsPolicies) {
% my $object = $objPol->{object};
% my $objectAcl = _aclName($object);
acl <% $objectAcl %> src <% join ' ', @{ $objPol->{addresses} } %>
<& .timeACLs, policy => $objPol, ids => [ $object ] &>
% foreach my $groupPol (@{ $objPol->{groupsPolicies} }) {
<& .timeACLs, policy => $groupPol, ids => [$object, $groupPol->{group}] &>
% }
% }
</%def>
где-то есть список этих объектов где они и дублированы. Вопрос где этот список объектов хранится?
acl obje9999 src 192.168.1.111/32 192.168.1.222/32
Как получается что 2 раза объект обрабатывается? Вернее где он задублировался?
Как я понял в темплейте за формирование таких строк отвечает участок:
<%def .objectsACLs>
<%args>
@objectsPolicies
</%args>
% foreach my $objPol (@objectsPolicies) {
% my $object = $objPol->{object};
% my $objectAcl = _aclName($object);
acl <% $objectAcl %> src <% join ' ', @{ $objPol->{addresses} } %>
<& .timeACLs, policy => $objPol, ids => [ $object ] &>
% foreach my $groupPol (@{ $objPol->{groupsPolicies} }) {
<& .timeACLs, policy => $groupPol, ids => [$object, $groupPol->{group}] &>
% }
% }
</%def>
где-то есть список этих объектов где они и дублированы. Вопрос где этот список объектов хранится?
10
Russian / Re: Сетевые ресурсы 2 сетей
« on: May 05, 2012, 03:25:58 am »
Что в логах фаервола? Нет ли записей где блокируется 137 и 138 UDP?
Какой маршрутизатор в обоих сетях указан как гейт по дефолту? - Сам Зентял? Если нет то надо маршруты к сетям все-таки проверить на самих машинах сети, что бы были настроены правильно.
Какой маршрутизатор в обоих сетях указан как гейт по дефолту? - Сам Зентял? Если нет то надо маршруты к сетям все-таки проверить на самих машинах сети, что бы были настроены правильно.
11
Russian / /etc/squid/squid.conf меняется (восстанавливается) после перезапуска прокси
« on: May 05, 2012, 02:55:04 am »
В общем-то сабж, не могу понять откуда он его восстанавливает. - В конфиге есть ошибки (дублируются строки с acl) удаляю дубли, перезапуск сквида - и строки возвращаются.
Как я понимаю где-то лежит основной конфиг с которым Zentyal работает из веба, далее при рестарте он его ложит (формирует) в /etc/squid/
Откуда он это берет - где мне поправить конфигурацию (убрать дубли строк)?
Как я понимаю где-то лежит основной конфиг с которым Zentyal работает из веба, далее при рестарте он его ложит (формирует) в /etc/squid/
Откуда он это берет - где мне поправить конфигурацию (убрать дубли строк)?
Pages: [1]