eManual.ru - электронная документация
BorderManager 3.0: Первое впечатление.
На самом деле это не первое впечатление от самого
продукта, это первое впечатление от новой версии. Сам продукт мы
используем уже давно, можно сказать со времени его появления. Возможно,
мы были одними из первых российских пользователей первой коммерческой
версии BorderManager. Есть, что сравнивать.
Немного истории.
Давным-давно мы обдумывали организацию взаимодействия
корпоративной сети с Интернет. Обычно эта проблема сводится к защите
внутренней сети от некой угрозы извне, а значит к выбору надежного
файрвола. Мы посмотрели на эту проблему с несколько другой точки
зрения. Представьте себе, что вам необходимо превратить Интернет
с ее публичными ресурсами в дополнительный ресурс вашей корпоративной
сети. Отсюда следует, что вас обеспокоит проблема наиболее простого
согласования управления этим новым ресурсом с уже существующей системой
управления корпоративными ресурсами.
Поскольку наша система управления, в том числе управление
разграничением доступа, строится на основе корпоративного каталога,
реализованного с помощью Novell Directory Service, нам хотелось
иметь файрвол, умеющий хорошо взаимодействовать с NDS. По этой причине
выбор файрвола затянулся надолго. Не знаю, сколько мы бы еще тянули
резину, если бы Novell не выпустила BorderManager. Этот продукт
позволяет описывать правила разграничения доступа к ресурсам Интернет
в корпоративном каталоге. Можно сказать, что BorderManager дейстнвительно
представляет публичные ресурсы Интернет как ваши корпоративные ресурсы,
условно говоря, отражает их в вашем каталоге. Разумеется мы сразу
решили использовать этот продукт как брандмауэр, не обращая внимание
на его функциональную недостаточность.
Первая версия продукта могла фунционировать как прокси-сервер
только для протоколов HTTP, FTP и Gopher. Были проблемы с IP/IP
шлюзом (впрочем мы не собирались его использовать). Были проблемы
с устойчивостью работы, особенно при переполнении кэша. Но мы стойко
переносили трудности, поскольку преимущество интеграции с NDS сильно
перекрывает все недостатки.
Впечатление от новой версии.
Во-первых, сильно расширились функциональные возможности.
Я бы сказал, что они теперь полные. Прокси-сервер поддерживает все,
что вашей душе угодно: NNTP, Mail, Real Audio/Video. Например, я
пишу эту статейку и одновременно слушаю Радио 101 через новый прокси-сервер,
кстати, очень хорошее качество, хотя канал к провайдеру забит до
отказа, весь банк на веревке. Честно говоря, этот физический феномен
меня удивляет. Поддержка single sign-on с NDS тоже хорошая вещь,
хотя проблемы аутентификации решены как-то странно. Об этом я скажу
ниже.
Во-вторых, повысилась устойчивость работы сервера.
Возможно это связано с заменой ОС сервера на NetWare 5. Явно снизилась
загрузка процессора.
В-третьих, улучшилось представление отчетов из журналов
аудита, и появились даже красивые картинки с диаграммами и графиками.
Кстати, сами отчеты генерируются быстрее.
Процедура установки.
Процедура установки очевидно не вызовет каких-то вопросов,
а вот апгрейд выглядит довольно странно. Вообще, апгрейд описан
в Novell TID2947661, настоятельно рекомендую
иметь его под рукой. Странным представляется предложенный в этом
документе способ установки. Сначала надо установить BM на имеющийся
сервер с NW4.11, затем установить на этот сервер NW5, затем опять
установить BM.
Последний этап чисто выполнить не удалось, посыпались
ошибки при копировании файлов, похоже CD-ROM криво смонтировался
или проблемы с его драйвером. Такое впечатление, что он неверно
читал файловую систему. Мы просто проигнорировали эти ошибки, в
итоге все оказалось нормально. Кстати этот этап установки можно
выполнять только с консоли сервера, поскольку используется графический
интерфейс.
При перезагрузке сервера после установки BM автоматически
запускается утилита конфигурации фильтров. Откажитесь от ее услуг,
невзирая на ее настойчивость, если, конечно, вы не хотите переустановить
фильтры заново. Старые конфигурации фильтров нормально сохраняются.
В NDS тоже все нормально, имеющиеся конфигурации сервера и правил
контроля доступа сохраняются без проблем.
Что-бы сконфигурировать аутентификацию заведите ключевую
пару (Key Material Object) и укажите ее в настройках аутентификации
(SSL) на панели BorderManager Setup вашего сервера в NWAdmin.
Короче говоря немного странностей, но никаких неприятных
сюрпризов.
Странности с процедурой аутентификации.
Процедура аутентификации на прокси-сервере полностью
изменилась. Теперь используются данные учетной записи NetWare (имя
пользователя и пароль). Но вот принцип авторизации какой-то странный.
Первое впечатление, что авторизация привязывается к IP адресу машины
пользователя и отменяется по тайм-ауту (неактивности). Такое впечатление
связано с тем, что отмена авторизации не происходит, даже если пользователь
выключит и повторно включит машину. При этом он получит доступ к
Интернет без запроса аутентификации. Мы, правда, не исследовали
этот процесс до конца, но похоже, что это действительно так. Интересно,
что будет при использовании сервиса DHCP, если один пользователь
выключит машину, а другой включит и получит его IP адрес. Надо сказать,
что эти странности сильно напрягают.
Для упрощения аутентификации можно запустить single
NDS sign-on. Здесь тоже есть свои тонкости. Чтобы эта штука работала,
необходимо запустить на рабочей станции программку clntrust.exe.
Но это еще не все. Эта программка будет работать правильно, только
если она запущена после того, как пользователь установил
соединение (NetWare) с сервером, на котором работает BM. Имеющейся
аутентификации пользователя в NDS не достаточно, будут ошибки в
работе программки. Наилучшим способом запуска этой программки является
такой Login Script:
If OS= "WINNT" THEN
# \proxysyspublicDWNTRUST.EXE
# \proxysyspublicCLNTRUST.EXE
END
IF OS = "WIN95" THEN
# \proxysyspublicDWNTRUST.EXE
# \proxysyspublicCLNTRUST.EXE
END
Обратите внимание на то, что программка запускается
непосредственно с сервера BM, это приведет к установлению соединения
с сервером перед запуском программки. Запускаемая сначала программка
DWNTRUST.EXE служит для того, чтобы убить предыдущий экземпляр CLNTRUST,
если он есть в памяти. С DOS/WIN3.1 эта штука не работает.
Заключение.
Вообще, Novell BorderManager 3.0 потрясающе классная
штука!
24 марта 1999 г.
Евгений Соколов
Управление Безопасности НРБ
P.S.
Когда я написал о том, что старые настройки BM 2.1
сохраняются при апгрейде, я сильно погорячился. Это выяснилось примерно
через неделю. Когда я попытался изменить кое-что в настройках reverse-proxy
(http acselerator), я обнаружил, что запуск соответствующего snap-in
в nwadmn32 приводит к его крашу. Поначалу я подумал, что проблема
в кривизне снапина, но, как выяснилось все гораздо серьезнее. Для
того, чтобы избавиться от этого эффекта необходимо прочистить мозги
прокси-серверу и сконфигурировать его заново. Процедура такая:
сначала делаем unload proxy.nlm и unload
proxycfg.nlm
затем load proxycfg.nlm /R - это сбрасывает
все конфигурации прокси-сервера
затем unload proxycfg.nlm
теперь запускаем nwadmn32 и давим BorderManeger
Setup. Конфигурируем все заново, после окончания конфигурации
проху-сервер запустится сам.
Печаль в том, что при этом уничтожаются все установленные
ранее Outgoing Rules и список контекстов, в которых можно искать
пользователей. Хорошо, если у вас короткий список правил и возможных
контекстов, очень плохо, если это не так. Я, например, замучился
восстанавливать список контекстов. Вообщем, тем, кто допустил такую
плюху, я бы руки поотрывал и головы посворачивал.
|