Wpisy otagowane ‘Active Directory’

Lotus Notes i profile mobilne

środa, 28 Kwiecień 2010

UGH! Używa ktoś Lotus Notes na Windows z profilem mobilnym? Czemu HKEY_CURRENT_USER\Software\Lotus\Notes\ nie wędruje z użytkownikiem?
No chyba, że to szczególny przypadek, kiedy użytkownik przesiada się z Windows 7 na Windows Vista. Muszę to zdiagnozować.

Niemniej jest jeden denerwujący szczegół – bezwzględna ścieżka do pliku z konfiguracją, a to nie zawsze jest dobre rozwiązanie. W przypadku Lotus konfiguracja trzymana jest w pliku notes.ini (domyślnie). Informacja o tym gdzie szukać tego pliku jest w rejestrze we wspomnianym kluczu. Przykładowo dla wersji 8.0 (generalnie tak jest na pewno od 6.5 do 8.5) jest to ciąg NotesIniPath w gałęzi 8.0\ i ma przykładową wartość:
C:\Users\username\AppData\Local\Lotus\Notes\Data\notes.ini.
(więcej…)

Tagi:,
Zaszufladkowany do Poczta, Windows | Brak komentarzy »

FortiGate i uwierzytelnianie w Active Directory

poniedziałek, 9 Luty 2009

Udało mi się rozdzielic grupy na FortiGate przy uwierzytelnianiu w AD!

Problem wyglądał tak: mamy wielu użytkowników należących do wielu grup. Tworzymy reguły z autoryzacją – dla każdej grupy osobną. Adresy i porty źródłowe i docelowe takie same. Jeśli użytkownik nie jest członkiem grupy w pierwszej regule zapora nie sprawdza dalszych reguł (inaczej niż w przypadku niedopasowania innych warunków – adresu IP i portu). Żale wcześniej wylałem tutaj: FortiGate – przetwarzanie reguł.

fgad-2Rozwiązaniem takiego problemu jest stworzenie dwóch osobnych grup (z osobnymi protection profile), a następnie umieszczenie ich w jednej regule.fgad Mniej więcej pokazują to zrzuty ekranu, które zrobiłem na swoim urządzeniu. Oczywiście kolejność dodawania grup ma znaczenie w przypadku gdy użytkownicy należą do więcej jak jednej jednocześnie.

W międzyczasie pojawił mi się kolejny problem. Chciałem konkretnemu użytkownikowi PPTP dać dostęp jedynie do konkretnego serwera w DMZ. Niestety grupa PPTP może być jedna i może mieć tylko jeden zakres adresów, jakie są jej przydzielane. Adresów nie da się przydzielić ‘na sztywno’ użytkownikowi. Tym samym wszyscy mają takie same prawa, bo reguła zapory jest jedna. A szkoda, pokombinuję z innymi VPN’ami.

Ciągle jestem przed szkoleniem FortiGate & AD. Chetnie dowiem się czy da się PPTP pożenić z AD.

Tagi:,
Zaszufladkowany do Tech | Brak komentarzy »

FortiGate – przetwarzanie reguł

wtorek, 9 Grudzień 2008

Używam FortiGate jako bramy dla użytkowników. Gdzieś wcześniej już o tym wspominałem. Powód, dla którego pozostałem przy tym, to połączenie z Active Directory poprzez FSEA. Niestety rozwiązanie oprócz ogromnej zalety pojedynczego logowania, ma ogromną wadę. Mianowicie przetwarzanie reguł z autoryzacją kończy się po pierwszej nietrafionej. Troszkę oryginalnej dokumentacji, a potem moje wyjaśnienie:

Firewall policy order
The firewall policies that you create must be correctly placed in the policy list to be
effective. The firewall evaluates a connection request by checking the policy list
from the top down, looking for the first policy that matches the source and
destination addresses of the packet. Keep these rules in mind:
• More specific policies must be placed above more general ones.
• Any policy that requires authentication must be placed above any similar policy
that does not.
• If a user fails authentication, the firewall drops the request and does not check
for a match with any of the remaining policies.
• If you create a policy that requires authentication for HTTP access to the
Internet, you must precede this policy with a policy for unauthenticated access
to the appropriate DNS server.

Czyli filtrując ruch np. HTTP robimy to dla wszystkich, nie możemy rozdzielić grup. Tym samym cała sieć ma identyczny protection profile.

W połowie stycznia będę na szkoleniu Fortinet Server Authentication Extensions (FSAE) + MS-2199 Active Directory Fundamentals, więc może jeśli nie rozwiązanie, to przynajmniej znajdę obejście problemu.

Tagi:, , ,
Zaszufladkowany do Tech | 1 komentarz »