|
01.05.2007, 02:11 | #1 |
Участник
|
Как дать доступ к Аксапте внешним пользователям?
Торможу. Не вижу чего-то очевидного.
Есть сейчас: 1. Компания установила у себя AX4.0 (есть домен, сервер, SQL, ISA и прочие полагающиеся пироги) 2. Внутри сети пользователи в Аксапту заходят нормально = если компьютер пользователя в домене, то с аутентификацией никаких проблем = если компьютер пользователя не в домене (ноутбук), то во внутренней сети AX4.0 можно запустить при помощи команды "run as..." 3. Для некоторых пользователей разрешен удаленный доступ к VPN. VPN пользователи подключаются в домен, а затем в терминал. VPN пользователи нормально подключаются и работают с AX4.0 через терминал. Что нужно: 4. нужно предоставить непосредственный (без терминала) доступ к Аксапте 4.0 внешним пользователям. причем, рассматривается два случая: = внешним пользователем является сотрудник с своим ноутбуком (заходит из дома в домен под доменным пользователем, затем пытается войти в Аксапту 4.0) = внешний пользователь не входит в домен (из организации-партнера или наш сотрудник входит с локальной учетной записи своего ноутбука) 5. Что уже исследовано: = Если в ISA разрешить полный доступ VPN клиентов ко внутренней сети, то внешние доменные пользователи подключаются к AX4.0 = Если на удаленный компьютер зайти под недоменным пользователем, то AX4.0 выдает сообщение Failed to establish connection, даже при разрешенном полном доступе VPN (что ожидалось). Однако это же сообщение появляется даже при использовании run as... 6. Вопросы: 6.1. Как дать доступ в AX4.0 внешним недоменным пользователям? (кроме корпоративного портала и терминала) 6.2. Какие минимальные разрешения нужно выставить в ISA, чтобы опубликовать AX4.0? Хотелось бы напомнить, что сейчас используется RPC для взаимодействия AX-AOS, а давать полные разрешения VPN-клиентам как-то неспортивно. Пожалуйста, ткните носом в документацию, если данный вопрос где-то освещен. |
|
01.05.2007, 05:04 | #2 |
Member
|
Пока идет мыслительный процесс можно вопрос?
Чем не устроил WTS + аккуратно подрезанные права на файловую систему? Вариант с доменными пользователями + установка доверительных отношений между доменами рассматривается? Сам никогда не интересовался администрированием доменов, но есть гипотеза, что это может помочь.
__________________
С уважением, glibs® |
|
01.05.2007, 22:06 | #3 |
Участник
|
Нашел и перечитал кучу доки.
Пока не понял чего я не понимаю. Ответа не нашел. На худой конец можно сделать и так... Но хотелось бы дорыть до корней. Мысль о том, что разработчики "забыли" о внешних пользователях постоянно лезла в голову. Так обнаружил, что в последних вариантах Аксаптовских материалах отсутствует вариант тонкого внешнего клиента (есть либо WTS либо корпоративный портал). В пользу этого предположения говорит также требования 5мс задержки в канале http://www.microsoft.com/dynamics/ax...uirements.mspx Но пока эту мысль задвигаю в сторонку как самый простой ответ. Насколько я понимаю, сейчас вопросы авторизации и доступа внешних пользователей переложили на ОС. Что именно и как именно предполагали разработчики организовать доступ к Аксапте для внешних? Цитата:
В общем, хочется понять, могут ли внешние недоменные пользователи подключаться непосредственно к Аксапте? Если могут, то как это сделать? |
|
01.05.2007, 23:47 | #4 |
Member
|
Цитата:
Сообщение от mazzy
...
разработчики "забыли" о внешних пользователях ... В доке по порталу предлагается внешних пользователей заводить в отдельный домен, и не давать им вообще прав в домене. Потом их связывать через Business Connector Proxy с Аксаптой. В материалах разного рода полно "воды" насчет улучшенной безопасности. Насколько я понимаю, именно об ограничении "доступа к телу", с которыми ты столкнулся, и идет речь. То, что произошло с Аксаптой, в общем-то, вписывается в общие тенденции развития контроля доступа в Windows. Речь идет об организации полного контроля сетевых администраторов над всеми ресурсами сети с одной стороны, и о возможности контролируемого ограничения возможностей всех остальных пользователей ресурсов сети теми же администраторами. Так что врядли забыли. Специально так сделали. IMHO. Почему ты считаешь, что Микрософт должен заботиться о лаптопах, которые подключены к рабочим группам, а не к доменам?
__________________
С уважением, glibs® |
|
01.05.2007, 23:50 | #5 |
Участник
|
Цитата:
Можешь дать номер или ссылку на документ? Почему ты считаешь, что я так считаю? |
|
02.05.2007, 00:05 | #6 |
Member
|
Цитата:
Сообщение от mazzy
...
Вот я и спрашиваю, где? Можешь дать номер или ссылку на документ? ... VERSION 1.0 MICROSOFT DYNAMICS AX 4.0 Лежит на Партнерсорсе. Цитата:
Сообщение от mazzy
...
Почему ты считаешь, что я так считаю? ... "... Мысль о том, что разработчики "забыли" о внешних пользователях постоянно лезла в голову. ..."
__________________
С уважением, glibs® |
|
01.05.2007, 23:59 | #7 |
Участник
|
Цитата:
то это только про веб-пользователей. Я спрашивал про нормальный трехуровневый доступ. 1. У человека есть комп. 2. Комп не в домене. 3. На компе установлена Аксапта Как этому человеку зайти на AOS, на котором он знает логин пароль и в домене, где живет AOS? |
|
02.05.2007, 00:15 | #8 |
Member
|
Я понимаю все. Сам хотел бы найти хакерский способ. Ищу. Пока не придумал.
Цитата:
Сообщение от mazzy
...
2. Комп не в домене. 3. На компе установлена Аксапта ... Значит дальше мы можем говорить... ну если не о хакерстве, то по крайней мере о вообще НЕ ПОДДЕРЖИВАЕМОЙ вендором конфигурации использования его ПО. Итого вопрос свелся к тому, как обойти умышленно реализованные ограничения на использование ПО, которые разработал вендор. Со всеми вытекающими. И без каких-либо претензий. IMHO.
__________________
С уважением, glibs® |
|
02.05.2007, 00:38 | #9 |
Участник
|
Цитата:
2. Пожалуйста, если есть документы в открытом доступе, то лучше ссылаться на них, а не на "секретные" материалы с ограниченным доступом. Про Business Connector Proxy User http://msdn2.microsoft.com/en-us/library/aa496652.aspx В общем, тема не раскрыта. Если есть соображения, с удовольствием послушаю. |
|
03.05.2007, 16:23 | #10 |
Участник
|
раньше был такой Checkpoint Firewall-1, на нем можно было поднять secured logon в домен с шифрованием.
|
|
04.05.2007, 11:12 | #11 |
Участник
|
Цитата:
Цитата:
VPN пользователи подключаются в домен, а затем в терминал. VPN пользователи нормально подключаются и работают с AX4.0 через терминал.
Цитата:
нужно предоставить непосредственный (без терминала) доступ к Аксапте 4.0 внешним пользователям. причем, рассматривается два случая: внешним пользователем является сотрудник с своим ноутбуком (заходит из дома в домен под доменным пользователем, затем пытается войти в Аксапту 4.0)
Цитата:
внешний пользователь не входит в домен (из организации-партнера или наш сотрудник входит с локальной учетной записи своего ноутбука)
Если в ISA разрешить полный доступ VPN клиентов ко внутренней сети, то внешние доменные пользователи подключаются к AX4.0 Цитата:
Если на удаленный компьютер зайти под недоменным пользователем, то AX4.0 выдает сообщение Failed to establish connection, даже при разрешенном полном доступе VPN (что ожидалось). Однако это же сообщение появляется даже при использовании run as...
Код: User Name SID ================ ============================================= ax4host\testuser S-1-5-21-2925645454-1921501322-1239600718-500 Цитата:
Как дать доступ в AX4.0 внешним недоменным пользователям? (кроме корпоративного портала и терминала)
Цитата:
Какие минимальные разрешения нужно выставить в ISA, чтобы опубликовать AX4.0? Хотелось бы напомнить, что сейчас используется RPC для взаимодействия AX-AOS, а давать полные разрешения VPN-клиентам как-то неспортивно.
Код: # Name Action Protocols From/Listener To Condition == ============== ====== =============== ============= =========== ========= 1. Intranet 2 VPN Allow All Intranet VPN Clients All Users 2. VPN 2 Intranet Allow DNS,LDAP, LDAP (UDP), LDAP (GC), LDAPS,RPC, DHCP (request), DS,DS (UDP), AOCP VPN Clients Intranet All Users Чтобы еще больше "завернуть гайки", можно сделать на исходящий трафик (вместо правила №2) отдельные правила, сгруппировав протоколы по адресатам и в "To" указав computer sets с перечисленными серверами, которым этот трафик предназначен. Вообще же, на isaserver.org есть много информации на тему VPN-клиентов, например, статьи широко известного в узких кругах Thomas Shinder: Using the ISA Firewall to Configure Granular Access Controls for VPN Clients (часть 1 и 2). Дополнение: В ISA Server 2004/2006 есть чудесный механизм мониторинга (Monitoring/Logging). Можно настроить его на трафик от Source Network = VPN Сlients, Log Time = Live, запустить запрос и при разрешенном полном доступе сделать тестовое подключение по VPN с запуском клиента AX4, выполнить там все обычные операции и завершить работу. После этого скопировать полученные строки логов и посмотреть, трафик по каким протоколам и в каких направлениях нужно разрешить клиенту для нормальной работы с AOS. Последний раз редактировалось gl00mie; 04.05.2007 в 11:25. |
|
|
За это сообщение автора поблагодарили: kashperuk (5). |
05.05.2007, 10:12 | #12 |
Участник
|
Сергей, а если попробовать так:
1. Завести для удаленного пользователя еще одну учетную запись в Axapta связав ее с доменной записью (т.е. будет два пользователя с одним доменным именем, но разными UserId - одни для доступа из домена, один - для доступа извне). Изменить у этого пользователя SID (в таблице UserInfo) на SID локального пользователя (получить его можно как описал gl00mie, либо с помощью утилиты getsid.exe из тех же support tools) 2. Подключаться к VPN пользователем Business Connector Proxy 3. Запускать Axapta под локальной учетной записью пользователя (т.е. без всяких RunAs)
__________________
Axapta v.3.0 sp5 kr2 |
|
06.05.2007, 10:48 | #13 |
Участник
|
Прежде всего, спасибо gl00mie, AndyD.
Цитата:
Цитата:
Если можно, то чуть попозже. Цитата:
вы думаете, что проверка выполняется на клиенте, а не на сервере? Цитата:
Но от ISA к AOS'у идут неавторизованные запросы. Дык ить... Это ж и интересует: что ей нужно? Где нибудь прописано? Цитата:
DNS, RPC, LDAP открывал... DS, AOCP попробую. DHCP не нужен поскольку ISA сам занимается IP-адресами, IMHO. Вот бы где-нибудь увидеть полный список... О! Бездна секса. Обязательно почитаю. Цитата:
Сообщение от gl00mie
Дополнение: В ISA Server 2004/2006 есть чудесный механизм мониторинга (Monitoring/Logging). Можно настроить его на трафик от Source Network = VPN Сlients, Log Time = Live, запустить запрос и при разрешенном полном доступе сделать тестовое подключение по VPN с запуском клиента AX4, выполнить там все обычные операции и завершить работу. После этого скопировать полученные строки логов и посмотреть, трафик по каким протоколам и в каких направлениях нужно разрешить клиенту для нормальной работы с AOS.
Цитата:
Сообщение от AndyD
1. Завести для удаленного пользователя еще одну учетную запись в Axapta связав ее с доменной записью (т.е. будет два пользователя с одним доменным именем, но разными UserId - одни для доступа из домена, один - для доступа извне). Изменить у этого пользователя SID (в таблице UserInfo) на SID локального пользователя (получить его можно как описал gl00mie, либо с помощью утилиты getsid.exe из тех же support tools)
2. Подключаться к VPN пользователем Business Connector Proxy 3. Запускать Axapta под локальной учетной записью пользователя (т.е. без всяких RunAs) Пока считаю, что проблема в том, что ISA2004 делает неавторизованные запросы. Насколько я понимаю, это фича такая. Насколько я понимаю из документации ISA2006 поддерживает авторизацию. Попробую. Спасибо. Буду рад, если появятся еще идеи и советы. |
|
06.05.2007, 13:59 | #14 |
Участник
|
А если попробовать мимо ISA, то получится подключиться как я предлагал?
__________________
Axapta v.3.0 sp5 kr2 |
|
06.05.2007, 14:17 | #15 |
Участник
|
Да, конечно. Внутри сети входит и выходит.
А вот снаружи - фиг. |
|
06.05.2007, 14:28 | #16 |
Участник
|
Я запутался
Т.е. удалось подключиться внешним недоменным клиентом к Ax4 через VPN?
__________________
Axapta v.3.0 sp5 kr2 |
|
06.05.2007, 14:32 | #17 |
Участник
|
Цитата:
Можно я не буду экспериментировать и убирать ISA для внешних пользователей? Внутри сети твой способ работает. |
|
06.06.2007, 12:08 | #18 |
Участник
|
приветствую всех участников
Сергей, чем закончились эксперименты, поделись плз? |
|
06.06.2007, 12:16 | #19 |
Участник
|
Цитата:
Пробовал ISA2006. Но к нему надо пристегнуть Identity Integration Server, чтобы бездоменные пользователи маппились в доменных. Возобновлю эксперименты, когда будет чуть посвободнее.. |
|
06.06.2007, 13:31 | #20 |
Участник
|
Цитата:
|
|
Теги |
active directory, доступ, ax4.0 |
|
|