TMG یا Kerio (یا: فرق TMG با Kerio چیه؟! یا: من TMG کارم، چطوری Kerio کار بشم؟)

[hamed_mhk]

خب خیلی مقدمه چینی نمیکنم و یه راست میرم سراغ اصل ماجرا
خیلی از ما با نرم افزار MS ISA یا MS TMG آشنایی داریم و با نحوه کار رو منطق قضیه کنار اومدیم. حالا یه نرم افزاری هست به اسم Kerio Control که ظاهراً خیلی از کارهای TMG رو میکنه و ظاهراً خیلی خوشدست تر و بهتر و "کم هزینه تر" هم هست. و روی همین حساب خیلی از TMG کارها بدشون نمیاد که یه توکی هم به این نرم افزار بزنن و ببین داستان چیه. اتفاقاً پست های یکی دو ماه اخیر توی فروم هم نشون میده که علاقه به سمت این نرم افزار زیاد شده.

کاری که من میخوام بکنم اینه که یه معرفی اجمالی داشته باشم روی این دو تا نرم افزار، منطق هاشون رو با هم مقایسه کنم و نهایت بگم که با انتخاب هر کدوم چی بدست میاریم و چی از دست میدیم


نرم افزار MS TMG یک نرم افزار کلاس Enterprise هستش، به شدت استیبل هستش، داکیومنت بسیار زیادی در موردش وجود داره، کاملاً توی دنیا جا افتاده هستش و توی دنیای IT چه داخل ایران و چه خارج از اون کاملاً روش حساب میکنن. یه نرم افزار با "قابلیت اطمینان" بالا. (دیگه از قابلیت هاش نمیگم چون همه میدونیم)
اما Kerio Control ؛ یه نرم افزار نسبتاً کوچیک یا متوسط که از لحاظ کلاس کاری به هیچ وجه به پای TMG نمیرسه. چه از دید داکیومنت هایی که در موردش وجود داره، و چه به لحاظ میزان استفاده توی دنیا.
اما یک سری آپشن هایی توش هست که برای خیلی از ماها جالبه و وسوسه انگیزه؛ توانایی کنترل پهنای باند رو داره و کلی ابزارش توش ساختن برای این کار. توانایی ثبت و نمایش گزارش های خیلی خوب و مفصل رو داره و ابزارهای خوب داره برای این کار، ابزارهای بسیار خوب و ویژه برای کنترل "وب گردی" داره. (مثلاً توش کلی ابزار داره که میفهمه فلان کاربر داره تورنت بازی میکنه یا اصلاً داره با حجم بالا دانلود میکن و ....)

و فرق اساسی یه نرم افزار کلاس اینترپرایز مثل TMG با نرم افزارهای کوچیک هم همینه. سیستم های اینترپرایز عموماً ابزار توشون زیاد نیست، یه سری SDK و FrameWork میدن که خودت یا یه شرکت واسطه بشینه این ابزارها رو بسازه در حالی که سیستم های کوچیک تر عموماً خیلی ابزار و Tool دارن برای این کار ....


وقتی شما Kerio نصب میکنی، میبینی که تقریباً همه چیش معادل TMG . هر چی اونجا داری، اینجا هم داری و یه آدم حرفه ای شاید با 10 دقیقه سر و کله زدن، دقیقاً بفهمه که اون کاری رو که توی TMG انجام میداد، اینجا کجا باید انجام بده .....

حالا نکته اساسی اینه که منطقی که توی TMG هست یه منطق استانداره که عموماً توی هر فایروالی بری همینطوریه اما توی Kerio یه مقداری اینجوری نیست و روی همین حساب یکی که توی TMG حرفه ایه، و با اون پیش فرض ها میره سراغ Kerio به مشکل برمیخوره
آدم های غیر حرفه ای ممکنه به این مشکلات بر نخورن، چون برای اجرای سناریو های ساده عملاً توی Kerio نیاز نیست کاری انجام بدی (بر خلاف TMG که خیلی بگیر و ببند داره!)


ولی برای اجرای سناریوهای پیچیده قطعاً نیازه که یه کلاس آپگرید TMG به Kerio برگزار بشه که به قول تیتر تاپیک: من TMG کارم، چطوری Kerio کار بشم، رو میخواییم اینجا داشته باشیم










بعد التحریر!

من فکر کردم 10 دقیقه میشینم اینجا مینویسم و میره پی کارش ! ولی دیدم کلی بحث داره!
این که این قضیه رو باید چند قسمتی داشته باشیم !!

پس باقی توی پست های بعدی !!!

---

موضوعات مشابه:

• امکانات لازم برای kerio
• تنظیم در Kerio

---

[hamed_mhk]

حالا من برم سراغ منطق این نرم افزار ها و مقایسه شون

سیستم TMG به این صورته که
یه مجموعه داره به اسم Firewall Policy
و یه دونه هم داره به اسم Web Access Policy


توی کریو اینا رو به این صورت داریم :
Traffic Rules
و برای دومی هم Content Filter (یا توی ورژن های قبلی http Filter)


که علی الظاهر هم معادل هم هستن اما یک فرق فوق اساسی بین اینا وجود داره

توی TMG قسمت Web Access Policy همون Firewall Policy هستش که فقط پالیسی ها و قوانین مرتبط با WEB رو "نمایش" میده. حتی اگر بخوای Rule جدید درست کنی، بهت اجازه نمیده که توی Web Access Policy درست کنی، و باید بری توی قسمت Firewall Policy این کار رو بکنی


اما توی Kerio اینجوری نیست! Traffic Rules برای خودشه و Content Filter هم برای خودش! به همدیگه بی ربط نیستن ولی استقلال خودشون رو هم دارن!

همین موضوع نحوه دسترسی کاربرا کاملاً تحت الشعاع خودش قرار میده:

توی TMG 3 حالت داریم که کاربر وصل شه به سیستم

1. یکی Secure NAT هستش که همون ارتباط Default Gateway خودمونه. توی این حالت وقتی توی TMG میخوای Rule تعرف کنی باید به صورت All Users تعریف کنی. این توی لایه 3 و 4 کار میکنه و در همون حد میشه، محدودیت اعمال کرد.
2. یکی به صورت Proxy هست که توی web Browser طرف ست میشه. توی این حالت معمولش اینه که Rule ها رو بر اساس USER تعریف میکنن که هم یوزر Authenticate بشه و لاگ ها به اسم یوزر ثبت بشه، و از اونجایی که با این کار تا لایه 7 میشه بالا اومد، تا حد ممکنه میشه محدودیت اعمال کرد و کنترل کرد سیستم رو
3. یکی هم TMG Client هست که مثل دومی

مثال:


مثال 1.میخواییم یک تبلت با آی پی 172.16.1.10 بتونه اینترنت گردی کنه :
توی تبلت دیفالت گیت وی رو آی پی TMG میدیم و یه قانون مینویسیم به این صورت:

کد:

 Action [Allow] Protocols [HTTP/HTTPS] From [172.16.1.10] To [External] Condition [All Users] 

مثال 2.میخواییم یوزر Ali@domain.coom که توی سابنت 192.168.20.0/24 هست اینترنت گردی بکنه:

باید توی وب بروزش پروکسی تنظیم میکنیم و یا روی سیستمش TMG Client نصب میکنیم و این Rule رو بنویسیم:

کد:

Action [Allow] Protocols [HTTP/HTTPS] From [192.168.20.0/24] To [External] Condition [ali@domain.com]

مثال 3.میخواییم یوزر mammad@domain.com که از هر جایی شبکه داخلی بتونی به بیرون شرکت Remote Desktop بزنه

TMG Client نصب میکنیم روی کامپیوترش و این Rule رو مینویسیم:

کد:

Action [Allow] Protocols [RDP] From [Internal] To [External] Condition [mammad@domain.com]

مثال 4.میخواییم یوزر hasan@domain.com فقط وقتی پای کامپیوتر خوش باش آی پی 192.168.20.20 هست بتونه هر کاری با اینترنت بکنه:

روی سیستم طرف TMG Client رو نصب میکنیم و یه Rule درست میکنیم به این صورت:

کد:

Action [Allow] Protocols [All Traffic] From [192.168.20.20] To [External] Condition [hasan@domain.com]

پس توی TMG اینجوریه که:

• اگر بدون Authentication بخواییم دسترسی بدیم (Secure NAT) باید IP مبدا رو داشته باشیم و به صورت All Users قانون بنویسیسم
• اگر بخواییم Authentication داشته باشیم، باید به صورت Proxy یا TMG Client طرف و توی قانونمون اسم یوزر رو بدیم، توی این حالت حتی میتونیم آی پی رو هم تعریف کنیم.

اما سیستم کریو یه مقداری متفاوت هستش با TMG

توی Kerio Control هم چهار حالت داریم :

1. یکی NAT هستش که همون ارتباط Default Gateway خودمونه.
2. یکی به صورت Proxy هست که توی web Browser طرف ست میشه.
3. یکی هم Kerio VPN Client که کاربر رو به صورت VPN با استاندارد خودش بهش وصل میشه.
4. یکی هم به صورت وب. به این صورت که یه صفحه ای مثل صفحه هات استپات وجود داره، آدرس سرور کریو رو میزنی میری توش و لاگین میکنی. و Session تو با کریو Authenticated میشه

حالا بریم مثال هایی رو که برای TMG زدیم رو مرور کنیم و ببینیم اینجا چطوریه:

مثال:

مثال 1.میخواییم یک تبلت با آی پی 172.16.1.10 بتونه اینترنت گردی کنه:

توی تبلت دیفالت گیت وی رو آی پی KERIO میدیم و توی Traffic Rules یه قانون مینویسیم به این صورت:

کد:

Source [172.16.1.10] Destination [Internet Interfaces] Service [Http/Https] Action [Allow]

و توی قسمت Content Filter هم باید یه قانون بنویسیم

کد:

Detected Content [Any] Source [172.16.1.10] Action [Allow]

نکته مهم : میبینیم که توی Kerio باید 2 تا Rule بنویسیم برای پیاده شدن سناریومون.

نکته مهم: قسمت Content Filter به صورت دیفالت، آخرین قانونش اینه که Allow Any Any
یعنی وقتی یه کریو رو به صورت پیش فرض نصب میکنید دیگه نیازی نیست Rule بالا که توی قسمت Content Filter نوشتم رو بنویسید. اما دلیلی که من اون رو نوشتم که تاکید کنم بر اهمیت قضیه! (به انضمام اینکه توی سناریوهای درست و درمون باید برای کنترل درست، خودتون اون قانون رو Deny Any Any کنید!)






مثال 2.میخواییم یوزر Ali@domain.coom که توی سابنت 192.168.20.0/24 هست اینترنت گردی بکنه:

خب این رو توی کریو نمیشه پیاده سازیش کرد. نه اینکه نشه. میشه اما بعداً میریم سراغش. بجاش

مثال 2.1 میخواییم یوزر Ali@domain.com اینترنت گردی بکنه:


راه حل اول:توی وب بروزش پروکسی تنظیم میکنیم و توی قسمت Content Filter این Rule رو مینویسیم:

کد:

Detected Content [Any] Source [Ali@domain.com] Action [Allow]

نکته بسیار مهم : وقتی به صورت پروکسی طرف وصل شه، نیازی به تعریف قانون توی Traffic Rules نداریم و سیستم فقط به قوانین توی Content Filter نگاه میکنه!


راه حل دوم: طرف به صورت Web Login وارد کریو میشه. یا از VPN Client استفاده میکنه
توی Traffic Rules یه قانون مینویسیم به این صورت:

کد:

Source [Ali@domain.com] Destination [Internet Interfaces] Service [Http/Https] Action [Allow]

توی قسمت Content Filter این Rule رو مینویسیم:

کد:

Detected Content [Any] Source [Ali@domain.com] Action [Allow]

مثال 3.میخواییم یوزر mammad@domain.com که از هر جایی شبکه داخلی بتونی به بیرون شرکت Remote Desktop بزنه

طرف یا از VPN Client استفاده میکنه یا قبلش یه صفحه web بازمیکنه و میره تو سرور کریو و لاگین میکنه که Sessionش با کریو Authenticated شده باشه بعد یه Rule توی قسمت Traffic Rules درست میکنیم به این صورت :

کد:

Source [Ali@domain.com] Destination [RDP] Service [Http/Https] Action [Allow]

نکته: همونطور که میبینیم، چون پروتکل وبی نیست و RDP هستش دیگه نیاز به تعریف Rule توی قسمت Content Filter نداریم

نکته: میبینیم که توی اینجا کریو یه قابلیت بیشتر نسبت به TMG داره. توی TMG باید حتماً TMG Client رو نصب کنیم اما کریو این اجازه میده که یوزر ارتباط خودش را از طریق وب Authenticate بکنه و بعد از اون اقدام به انجام کارهای غیروبی که نیاز به Authenticate شدن دارن رو انجام بدی



4.میخواییم یوزر hasan@domain.com فقط وقتی پای کامپیوتر خوش باش آی پی 192.168.20.20 هست بتونه هر کاری با اینترنت بکنه:

مثل مثال اول این هم توی کریو نشدنیه!
یا هر کی از 192.168.20.20 میتونه با اینترنت هر کاری بکنه یا hasan@domain.com از هر کامپیوتری میتونه این کار رو بکنه. با هم نمیشه!
(التبه شدنیه اونم نیم بند که بعداً میگیم!)





پس این شد منطق کلی و مقایسه ای بین این 2 تا
مثالهایی که زدم شاید نشون بده که کریو یه سری پیچیدگی هایی داره (که واقعاً هم همینطوریه)
اما برای اینکه این پیچیدگی ها رو از سر کاربر و ادمین باز کنه یه سری آپشن هایی گذاشته توش که استفاده از اونا مزایا و معایب خاص خودش رو داره که در فرصت بعدی میام مفصل در موردش توضیح میدم!








خب باقیش در پست های بعدی انشاالله ...... !

[hamed_mhk]

عارضم خدمت دوستان که یه نکته اساسی رو توجه کنید بهش !

مخاطب این تاپیک کسایی هستن که ISA‌ و TMG رو خوب میشناسن و حالا میخوان با اون دیده به کریو نگاه کنن . . ..

من به شخصه امکان نداره بخوام الان کریو رو معرفی کنم به کسی که با ISA‌ کار نکرده و اینطوری قضیه رو شروع کنم!

سوالاتی هم که دوستان پرسیدن هیچ ربطی به تاپیک نداشت
از این رو من پاسخی هم ندادم

[aqfery]

این تاپیک جنبه آموزشی دارد و شما می بایست سوالات خود را در تاپیک جداگانه ای مطرح کنید و با طرح سوالاتی که به آسانی می توان از داکیومنت راهنمای کریو به آن رسید اینجا را شلوغ می کنیم و...
ضمن اینکه جستجو می کردید:
System requirements kerio control
و جواب می گرفتید از گوگل:
Recommended Server Requirements

Pentium IV or compatible
CPU 1 GHz
1 GB RAM
8 GB HDD space for product, logs, and StaR data
1 ethernet (10/100/1000) network interface supported by the OS

Windows 2000/XP/2003/Vista/2008/7
32-bit or 64-bit edition

سرافراز باشید.

[hamed_mhk]

در مورد منطق کریو نسبت به TMG یه سری صحبت‌هایی کردیم

از الان به بعد میخوام یه مقداری تمرکز و فوکوس رو ببرم سراغ نحوه کار و عملکرد Kerio و در مورد سوراخ سمبه هاش حرف بزنم
قبلش 2 تا نکته رو در مقام مقایسه این 2 تا نرم افزار بگم

اولاً به لحاظ پرفورمنسی کریو ظاهراً که خیلی سر تر از TMG هستش. راحت بگم که توی یک سناریوی مشابه TMG ، بیست درصد اون منابع میگیره. یعنی مثلاً کاری رو که تو با TMG با 8 گیگ رم و 4 تا سی پی یو انجام میدی رو میتونی با 1 گیگ رم و 1 سی پی یو سر و تهش رو هم بیاری. اینم دلیلش هسته لینوکسی اون هستش.
حالا اینکه مثلاً توی حالت اینرپرایز چطوری نمیدونم. مثلاً میدونم TMG‌ توی سیستمی که 1000 تا یوزر داره میشه ازش جواب گرفت،‌ ولی در مورد این اطلاعی ندارم



دوماً سیستم گزارش دهی که این داره، الحق و والانصاف عالی و هلو برو تو گلو و خوراک نیازهای داخل کشور و صاحبان محترم مشاغل و مدیران و غیره ست!!!
دقیقاً میگه کِی در چه زمانی کجا بوده، و چیکار میکرده و از همه مهمتر "دانلودها و ترافیک های بالا"‌ رو به طور جدا و مجزا بهت نشون میده که بتونی متناسب باهاش اعمال قانون‌‌ (!) کنی !
وقتی مقایسه ش میکنی با TMG که به صورت پیش فرض یه گزارش معمولی داره و نرم افزارهای اضافه شونده هم چیزای خوب و هلو برو تو گلو نمیدن، گزارش خیلی خیلی خوبی داره! هر چند باز حس میکنم که خیلی اینترپرایز نیست! بازم میگم "حس میکنم!!"






کریو به 3 صورت میتونه بانک اطلاعاتی یوزر و پسوورد داشته باشه و به قولی اکانینگ کنه

• یکی توی خودشه که میتونی یوزر توش تعریف کنی
  
• یکی اینه که وصل میشه به اکتیو دایرکتوری ماکروسافتی و یوزر ها و گروه ها رو از اون بخونه
• یکی هم از اپن دایرکتوری اپل که من باهاش کار نکردم

کریو برای اینکه بتونه لاگ ها رو بر اساس یوزر ثبت کنه و گزارش بده باید یکی از این 2 تا شرایط رو داشته باشه

1. IP یوزری که بهش وصل شه رو بدونه : یعنی توی یوزری که تعریف میکنی، IP اون یوزر رو هم بدی بهش
   
2. یا یوزری که وصل شده به کریو به صورت Authenticate‌شده وصل شده باشه: یعنی وقتی یوزر میخواد از کریو استفاده کنه، لاگین کنه به کریو
   

گفتیم که 4 حالت داریم برای وصل کردن ملت به کریو :


a) یکی NAT هستش که همون ارتباط Default Gateway خودمونه.

b) یکی به صورت Proxy هست که توی web Browser طرف ست میشه.

c) یکی هم Kerio VPN Client که کاربر رو به صورت VPN با استاندارد خودش بهش وصل میشه.

d) یکی هم به صورت وب. به این صورت که یه صفحه ای مثل صفحه هات استپات وجود داره، آدرس سرور کریو رو میزنی میری توش و لاگین میکنی. و Session تو با کریو Authenticated میشه



اگر بخوایم از حالت a یعنی NAT‌ استفاده کنیم، برای ثبت گزارش باید از حالت 1 استفاده کنیم. یعنی برای یوزری که قرار وصل شه IP‌ تعریف کنیم. یعنی چی؟‌ یعنی:
نکته مهم: USER1 و IP1 کاملاً معادل هم هستن. هر کسی که با دستگاهی با IP1 وصل شه به سیستم، توی کریو لاگ‌هاش به اسم USER1 ثبت میشه.

این حالت فقط به این درد میخوره که توی یه سیستم همه کامپیوترها IP ثابت داشته باشن، و فقط 1 نفر از اون کامپیوتر استفاده کنه. مثلاً این تیپ تنظیم به درد جاهای کوچیک میخوره یا برای دستگاهای موبایل مثل اسمارت فون‌ها یا تبلت ها که استفاده ش خیلی خصوصیه جواب میده





اگر بخوایم از حالت b یعنی پروکسی سرور استفاده کنیم به یه داستان بسیار بسیار عجیب بر میخوریم.
حالت پروکسی 2 حالت داره. یا بدون Authentication‌ میشه اومد تو. یعنی هر کی بیاد سراغ پروکسی سرور میتونه از اینترنت استفاده کنه.
یا اینکه Authenticate بکنیم. یعنی در قبال گرفتن یوزر و پسوورد طرف بیاد و استفاده کنه.
نکته مهم و عجیبی که اینجا هست اینه که توی هر 2 حالت، کریو لاگ رو ثبت نمیکنه !!!
یعنی کریو به دلیل پروکسی بودن IP‌ رو نمیدونه، اما علی رغم اینکه طرف Authenticate شده ست و اساساً داره بر اساس یوزر دسترسی میده و اینا،‌ برای ثبت کارهای یوزر، این نوع ارتباط رو قبول نمیکنه و هر کاری که طرف بکنه به عنوان Unrecognized User ثبت میکنه !!!!!
من اول فکر کردم این مشکل از طرف منه. کلی داکیومنت خوندم و رفتم جلو دیدم مشکل از طرف من نیست!
بعد گفتم شاید مشکل از طرف کرک باشه. یه فایل از خود سرورش گرفتم، و سرورش رو راه انداختم دیدم اونم اینطوریه!!!
توی فرومش مطرح کردم، دیدم یک سری افراد اومدن و گفتم ما هم این مشکل رو داریم و از طرف تیم ساپرت هم هیچ جوابی داده نشد! و گویا تا بوده همین بوده و همینم قراره باشه! بازم من هنوز مطمئن 100% ی نیستم و امیدوارم که اشتباه کنم!





حالت c از همه خوش دست تره! به دلیل اینکه کاربر با VPN‌ وصل میشه به سرور کریو، هم IPش مشخصه هم یوزرش مشخصه. پس برای ثبت لاگ و گزارش گیری و دادن قوانین هیچ مشکلی وجود نداره!
استفاده از VPN Client معمولاً مال جاهای کوچیکه. کلاً کار جالب و تمیز و قشنگی نیست به نظر من ولی خیلی ها به خاطر سادگی و صد البته نبود امکانات دیگه ازش استفاده میکنن. مثلاً راه حل های ترکیبی میکروتیک و IB SNG‌ و اینا اینطوریه! که خب کریو صد برابر تر و تمیز تر و قشنگ تره برای این کار!




بریم سراغ ارتباط d یا سیستم Authenticate شدن به وسیله وب
یکی از جالب ترین و "اما و اگر دار ترین" امکانات کریو هم همینه!

قبلش یه مرور داشته باشیم با هم : حالت a که لاگ رو مبتنی بر IP‌میدونه که هیچ! حالت b هم که هیچی! حالت c هم که باید کلانت باشه و VPN و اینا که خیلی دلچسب نیست، حالت d یه حالتیه که همه دوست دازن ازش استفاده کنن!!

این سیستم یه صورت پیش فرض یه مقداری عجیبه. کاربر باید بیاد، صحفه بروزر باز کنه، آدرس سرور کریو رو بزنه، کریو ازش یوزر و پسسورد بپرسه (یا اگر کامپیوتر و یوزر اکتیو دایرکتوری باشه، به صورت اتوماتیک NTLM این اتفاق میافته و یوزر نیاز به وارد کردن یوزر و پسسوردش رو نداره)
ولی این کار رو کرد، Session طرف با کریو Authenticate‌ میشه و از اونجا به بعد همه چی ثبت میشه و Rule هایی که مبتنی بر User‌ ساخته شدن کار میکنن. و از اونجا به بعد طرف میتونه از اینترنت استفاده کنه.

خب این کار خیلی بی مزه ست! هر کی اینترنت میخواد اول بره تو سایت کریو، بعد اینترنت دار شه!!!
یه چیزی توی کریو هست که این کار رو اتوماتیک انجام میده!

always require authenicated users to access webpages

وقتی این رو فعال کنید، اتفاقی که میافته اینه که یوزر وقتی اولین بار صفحه بروزرش رو باز میکنه، سیستم اتوماتیک میره توی صفحه کریو - اگر کامپیوتر عضو دومین باشه به طور اتوماتیک لاگین میشه - و اگر نباشه، کاربر باید یوزر پسوردش رو بزنه و بره توی اینترنت.

همه از این آپش استفاده میکنن و تقریباً یه چیزی میشه شبیه به صفحه هات اسپات! و دقیقاً هم میشه ازش استفاده هات اسپاتی هم کرد که خیلی خوب و ردیفه !





اما استفاده از این سیستم یک پــــنـــالـــتی خیلی خیلی بزرگ داره !
توی این حالت همه و همه الا و للا باید برای استفاده از WEB یوزر پسوورد وارد کنن! یعنی نمیتوین یه استثنا درست کنی! مثلاً مدیر بخواد با گوشی موبایلش بره توی اینترنت باید هر دفعه یوزر و پسسورد رو بزنه! حالا این خوبه!
مشکل سرورها هستن!!
سرور ها هم اگر بخوان ارتباط وبی داشته باشن باید و باید با یه یوزر و پسوورد برن تو! و باید یه آدم بشینه پاشون که این کار انجام بشه !!!!


مثلاً‌ یه سروری داره که تعریف کردی هر وقت دلش خواست با هر پروتکلی از اینترنت استفاده کنه! این اتفاق هم میافته. اما اگر بحواد کاری بکنه که از پورت های Http‌ و https استفاده بخواد بشه، باید توسط یک web Browser‌ ارتباطش Authenticate بشه
مثلاً شما یه برنامه داری توی یه کامپیوتر که از پروتکل http‌ استفاده میکنه. برای اینکه این برنامه کار کنه،‌ اول باید یه صفحه وب باز کنی، بعد این نرم افزار شروع به کار کنه و الا کریو بهش اجازه نمیده که کار کنه! و این توی app‌های موبایلی بد تو ذوق میخوره! میخوای با یه app‌ کار کنی، اول باید بری توی بروزر بعد اپت کار میکنه!!!

این شاید برای کاربرهای کامپیوتر که همیشه یه صفحه وب دارن، "غم‌ ِ خوردنی‌ای" باشه اما این ابداً قابل قبول نیست برای یک سیستم اینترپرایز و سرور و حتی دستگاه های موبایل !!!
یا مثلاً برنامه هایی که از وب سرویس استفاده میکنن کلهم اجمیعین میرن روی هوا !










حالا من خودم دارم هنوز این سیستم رو تست میکنم و باهاش دارم سر و کله میزنم و توی قسمت های بعدی میام یه سری دیگه از گیر و گور هاش رو میگم







دوستان هم اگر لطف کنن نظرات فنی شون رو اینجا ارائه کنن تا به یه جمع بندی "جمعی" برسیم با هم !

من خودم یه سری راه حل هایی که به ذهنم رسیده منتها دارم سعی و خطا میکنم روشون ببینم چطور میتونم بهترین جواب رو بگیرم! قطعاً تجربه دوستان هم میتونه کمک کنه به جواب های خوب و درست گرفتن !

[M-r-r]

نحوه Authenticate یا به عبارت ساده تر، احراز هویت کاربر رو نمیشه چندگانه و بصورت گروه به گروه تعریف کرد ؟

[hamed_mhk]

یعنی چی؟
میشه چیزی رو که داری میگی به صورت یه مثال سناریویی بگی؟

[mgholami]

نحوه Authenticate یا به عبارت ساده تر، احراز هویت کاربر رو نمیشه چندگانه و بصورت گروه به گروه تعریف کرد ؟

نه متاسفانه اين قابليت رو نداره

[M-r-r]

یعنی چی؟
میشه چیزی رو که داری میگی به صورت یه مثال سناریویی بگی؟

دید من، بر اساس Accounting هست؛ پس الزاما این امکان که من راجع بهش صحبت میکنم؛ روی کریو و یا سرویس های مشابه ممکنه وجود خارجی نداشته باشه؛ بنابراین :

در خیلی از نرافزار های Accounting، شما میتونید به ازای هر مدل ورود کاربر، هر مدل حسابرسی ای که مد نظر داشته باشید رو اعمال کنید.
برای مثال، در حسابرسی کاربران تلفنی، میشه تعیین کرد یه گروه که از یک NAS بخصوص وارد میشن رو فقط با username/password احراز هویت کرد، گروه بعدی روی همون NAS یا یک/چند NAS دیگه بوسیله Caller ID و الی آخر، همچنین امکانات اکتیودایرکتوری هم پشتیبانی میشد.

در اون فاز و اون شرایط، سناریو اینطوری بود که یه دسته کاربر داریم که کارت اینترنت دارن، یه دسته کاربر داریم که رادیو از ما خریدن، یه دسته هستند که اینترنت هوشمند مخابراتی استفاده میکنن، یه دسته هم اینترنت هوشمند خصوصی که ما قبض صادر میکنیم؛
دسته اول حتما باید username / password وارد کنن تا از حساب کارتشون کم بشه. اگه خالی وارد کرده باشن و شماره IN مخابراتی رو گرفته باشن، خود به خود میرن تو گروه اینترنت مخابرات و هزینه روی قبض، اگه شماره هوشمند خصوصی رو
گرفته باشن میرن تو دسته اینترنت هوشمند خصوصی و ما براشون قبض صادر میکنیم.
دسته دوم که از ما رادیو گرفتن، مشابه سرور های شما میشن، قرار نیست کسی بشینه پشت رادیو و از اونجا لوگین کنه و بعد بگه رادیو برو ppoe بزن و اینترنت بگیر، این گروه رو بر اساس Caller ID یا Mac Address احراز هویت میکنیم. اکانتینگ به محض رویت کالر آی دی یا مک آدرس، میگه قبوله و بر اساس سیاست ها دسترسی بهش داده میشه؛ به username / password ای که از سمت این گروه میاد نگاه هم نمیکنه !

حالا با این تفاصیل، کریو شما هم میتونه مثه اکانتینگ ما با کاربر برخورد کنه یا نه ؟

[hamed_mhk]

دید من، بر اساس Accounting هست؛ پس الزاما این امکان که من راجع بهش صحبت میکنم؛ روی کریو و یا سرویس های مشابه ممکنه وجود خارجی نداشته باشه؛ بنابراین :

در خیلی از نرافزار های Accounting، شما میتونید به ازای هر مدل ورود کاربر، هر مدل حسابرسی ای که مد نظر داشته باشید رو اعمال کنید.
برای مثال، در حسابرسی کاربران تلفنی، میشه تعیین کرد یه گروه که از یک NAS بخصوص وارد میشن رو فقط با username/password احراز هویت کرد، گروه بعدی روی همون NAS یا یک/چند NAS دیگه بوسیله Caller ID و الی آخر، همچنین امکانات اکتیودایرکتوری هم پشتیبانی میشد.

در اون فاز و اون شرایط، سناریو اینطوری بود که یه دسته کاربر داریم که کارت اینترنت دارن، یه دسته کاربر داریم که رادیو از ما خریدن، یه دسته هستند که اینترنت هوشمند مخابراتی استفاده میکنن، یه دسته هم اینترنت هوشمند خصوصی که ما قبض صادر میکنیم؛
دسته اول حتما باید username / password وارد کنن تا از حساب کارتشون کم بشه. اگه خالی وارد کرده باشن و شماره IN مخابراتی رو گرفته باشن، خود به خود میرن تو گروه اینترنت مخابرات و هزینه روی قبض، اگه شماره هوشمند خصوصی رو
گرفته باشن میرن تو دسته اینترنت هوشمند خصوصی و ما براشون قبض صادر میکنیم.
دسته دوم که از ما رادیو گرفتن، مشابه سرور های شما میشن، قرار نیست کسی بشینه پشت رادیو و از اونجا لوگین کنه و بعد بگه رادیو برو ppoe بزن و اینترنت بگیر، این گروه رو بر اساس Caller ID یا Mac Address احراز هویت میکنیم. اکانتینگ به محض رویت کالر آی دی یا مک آدرس، میگه قبوله و بر اساس سیاست ها دسترسی بهش داده میشه؛ به username / password ای که از سمت این گروه میاد نگاه هم نمیکنه !

حالا با این تفاصیل، کریو شما هم میتونه مثه اکانتینگ ما با کاربر برخورد کنه یا نه ؟

جواب شما رو دوست عزیز برادر غلامی دادن: نــــه !




البته اینم بگم که کریو کریوی ما نیست




کلاً این مشکل بغرنج مال این حالت صفر و یکیه این نرم افزاره

اگر قسمت پروکسی سرورش کار رو انجام میداد ، خداوکیلی غمی نبود! ولی الان کلی غم داریم!!
امروز من سر یه پروژه ای کلاً مجبور بودم هی تغییر بدم سرور رو که یه سرور CentOS مون بتونه یه سری پکیج دانلود کنه !!!
صاف شدم خداییش !!



حالا فعلاً توی فاز سر و کله زدنم !

[ahadto]

با سلام
مدتی هست با کریو کار می کنم، این مشکلی که مطرح کردید:

اما استفاده از این سیستم یک پــــنـــالـــتی خیلی خیلی بزرگ داره !توی این حالت همه و همه الا و للا باید برای استفاده از WEB یوزر پسوورد وارد کنن! یعنی نمیتوین یه استثنا درست کنی! مثلاً مدیر بخواد با گوشی موبایلش بره توی اینترنت باید هر دفعه یوزر و پسسورد رو بزنه! حالا این خوبه!مشکل سرورها هستن!!سرور ها هم اگر بخوان ارتباط وبی داشته باشن باید و باید با یه یوزر و پسوورد برن تو! و باید یه آدم بشینه پاشون که این کار انجام بشه !!!!مثلاً‌ یه سروری داره که تعریف کردی هر وقت دلش خواست با هر پروتکلی از اینترنت استفاده کنه! این اتفاق هم میافته. اما اگر بحواد کاری بکنه که از پورت های Http‌ و https استفاده بخواد بشه، باید توسط یک web Browser‌ ارتباطش Authenticate بشه مثلاً شما یه برنامه داری توی یه کامپیوتر که از پروتکل http‌ استفاده میکنه. برای اینکه این برنامه کار کنه،‌ اول باید یه صفحه وب باز کنی، بعد این نرم افزار شروع به کار کنه و الا کریو بهش اجازه نمیده که کار کنه! و این توی app‌های موبایلی بد تو ذوق میخوره! میخوای با یه app‌ کار کنی، اول باید بری توی بروزر بعد اپت کار میکنه!!!این شاید برای کاربرهای کامپیوتر که همیشه یه صفحه وب دارن، "غم‌ ِ خوردنی‌ای" باشه اما این ابداً قابل قبول نیست برای یک سیستم اینترپرایز و سرور و حتی دستگاه های موبایل !!!یا مثلاً برنامه هایی که از وب سرویس استفاده میکنن کلهم اجمیعین میرن روی هوا !

این مشکل قابل حل هست، شما از قسمت users، پروپرتیس یوزر مورد نظرتون رو میارید و در قسمت specific host ip adress ، از تب ip adresses آی پی سیستم مورد نظر رو می دید، حتی می شه چند آی پی رو با هم وارد کرد که با ; از هم جدا میشن که باعث میشه سیستم یا سیستم هایی که آی پی شون رو وارد کردید دیگه درخواست یوزر و پس نکنن و همیشه به صورت اتوماتیک با همون یوزر وصل شن
ولی مشکل بزرگی که کریو متأسفانه داره این هست که یوزر وقتی ترافیکش تموم بشه هیچ آلرت و اخطاری بهش داده نمیشه و حتی نمیشه رول نوشت که روی یه صفحه ریدایرکت شه، حالا نمی دونم فایروال های دیگه این امکان رو دارن یا نه

[hamed_mhk]

با سلام
مدتی هست با کریو کار می کنم، این مشکلی که مطرح کردید:این مشکل قابل حل هست، شما از قسمت users، پروپرتیس یوزر مورد نظرتون رو میارید و در قسمت specific host ip adress ، از تب ip adresses آی پی سیستم مورد نظر رو می دید، حتی می شه چند آی پی رو با هم وارد کرد که با ; از هم جدا میشن که باعث میشه سیستم یا سیستم هایی که آی پی شون رو وارد کردید دیگه درخواست یوزر و پس نکنن و همیشه به صورت اتوماتیک با همون یوزر وصل شن

عملاْ میشه گفت که نه قابل حل نیست!

این راهی که شما گفتید رو میدونم خودم و بالاتر هم گفتم :

کریو برای اینکه بتونه لاگ ها رو بر اساس یوزر ثبت کنه و گزارش بده باید یکی از این 2 تا شرایط رو داشته باشه

1. IP یوزری که بهش وصل شه رو بدونه : یعنی توی یوزری که تعریف میکنی، IP اون یوزر رو هم بدی بهش
   
2. یا یوزری که وصل شده به کریو به صورت Authenticate‌شده وصل شده باشه:
   

اصلاْ نکته اینکه که ما IP یوزرمون رو نمیدونیم، نمیخواییم هم بدونیم! سیستم داره با DHCP کار میکنه
به انضمام اینکه خیلی وقتا از یک کامپیوتر چند نفر ممکنه لاگین بشه !
رو همین حساب به هیچ وجه این "یک راه حل" نیست !

[ahadto]

عملاْ میشه گفت که نه قابل حل نیست!

این راهی که شما گفتید رو میدونم خودم و بالاتر هم گفتم :






اصلاْ نکته اینکه که ما IP یوزرمون رو نمیدونیم، نمیخواییم هم بدونیم! سیستم داره با DHCP کار میکنه
به انضمام اینکه خیلی وقتا از یک کامپیوتر چند نفر ممکنه لاگین بشه !
رو همین حساب به هیچ وجه این "یک راه حل" نیست !

آقا چرا می زنید مگه چی گفتم؟
مگه بقیه نرم افزارها این مشکل رو حل کردند؟ یعنی شما توی کلاینتی که به دامین جوین شده راه حلی دارید که وقتی شخص توی ویندوز لاگین کنه از ترافیک یوزر خودش استفاده بشه بدون اینکه نیاز به لاگین توی اون نرم افزار اکانتینگ داشته باشه و وقتی لاگ اوت کنه بدون نیاز به کار دیگه ای از حساب اینترنتش هم خارج شه؟
ما آی پی سیستم های شخصی افراد رو توی یوزرهاشون تعریف می کنیم و سیستم های عمومی رو هم همونجور می ذاریم که هر کسی با یوزر خودش بتونه لاگین کنه، اگه چاره ای بهتر از این دارید یا نرم افزار اکانتنگ بهتری می شناسید به ما هم معرفی کنید، با تشکر

[hamed_mhk]

ای بابا !!! من کجا زدم ؟!!


گفتم که این "راه حل" نیست فقط !!!


چون همونطوری که قبلاً‌ هم گفتم، سیستم IP ثابت مال جاهای کوچیکه و توی جای بزرگ خیلی اذیت میکنه یا اینکه مال دستگاه های تک کاربره !
ضمن اینکه اصلاً در خیلی از موارد - مثل استفاده کردن از یک پروکسی سرور و شبکه های خیلی بزرگ - شما نتونی و نخوای که این سیستم مبتنی بر IP‌ رو استفاده کنی ....

[hamed_mhk]

یک ایراد خیلی مهم و نسبتاً‌ اساسی که من توی این کریو دیدم و خیلی هم میتونی مهم باشه اینه که :

وقتی از یک کامپیوتر یک نفر به اینترنت وصل میشه، توی Kerio در قسمت Active Host میگه که فلان Host با فلان User وصله
و فقط در 2 صورت این اتصال رو حذف میکنه:
1 - یا اون یوزر Sessionش رو لاگ آف کنه از کریو
2 - یا Session اکسپایر بشه

که باز میرسیم به یکی دیگه از چیزای عجیب و غریب کریو !!

اگر یوزر کامپیوترش رو هم ShutDown‌ کنه هم Session ش لاگ آف نمیشه ! به عبارت بهتر :
اگر یکی بشینه پای یه کامپیوتر و خودش رو Authenticate بکنه. بعد سیستم رو شات داون کنه، بعد یکی دیگه بیاد بشینه پای اون کامپیوتر با یه یوزر دیگه لاگین کنه، کماکان همه چی به اسم اون یوزر اول ثبت و ضبط میشه !!!




تنها راه حلش هم اینه که زمان اکسپایر شدن Session رو بیارید پایین !
دیفالتش 2 ساعته !
باید بیاریدش پایین که اوکی بشه !‌!!!