здесь вам не тут

Kerio Control

3 декабря 2011, 0:51
Уффф, практически закончил сегодняшнюю эпопею с установкой Kerio Control.

Начнем с того, что на данный момент у нас в качестве фаервола крутился Kerio WinRoute Firewall 6.7.1, но пришло время его попробовать поменять на более нового собрата.

Реинкарнированный брандмауэр теперь называется Kerio Control, а версию я смог достать пока только 7.2.1-2333. Устанавливать решил в виде Kerio Software Appliance на VmWare ESXi 4.0.

Безусловно, от нового Керио хочется всего того что в него напихали — и WebFilter, и Snort, и Sophos или McAfee, но прежде — хочется интегрировать Kerio Control с Active Directory, так как у старого WinRoute такой интергации в рамках компании реализовано не было.

А теперь по порядку.

1. Скачиваем дистрибутив
2. Заливаем iso на datastore vmware esxi 4
3. Создаем новую виртуальную машину
4. Подключаем образ в загрузку
5. Нажимаем «Поставить Керио Контрол»
6. ...
7. Профит.

Все реально так просто. Дальше только конфигурирование, но и в нем особо сложного ничего нет — делаем по образу и подобию существующего брендмауэра. Ну и плюс — подключаем к Active Directory на Windows Server 2008 R2.

В самих настройках этого подключения, вроде бы, нет ничего сложного — ввел имя домена, адрес сервера (если Керио его сам не нашел), да логин пароль администратора. Однако ж интернет, как говорится, не интернет :(

Включаем «Всегда требовать аутентификации пользователей при доступе к веб-страницам» да «Включить автоматическую аутентификацию пользователей веб-браузером». Нет, не работает. А мы же еще хотели немножко безопасности, потому правило в «Политику HTTP» — разрешить все для Domain Users. Тоже не то. тогда еще правило трафика — только Аутентифицированные пользователи. Вроде что-то начинает получаться, но как-то все равно не то.

Нам же нужно чтобы у пользователя все было красиво, потому нам не нужно чтобы он постоянно вводил пароль на доступ к интернету — он же нас потом замучает. Нам нужно чтобы аутентификация Kerio с AD была прозрачная.

Немножко форумов в интернете — и вот, нужно зайти на :4080/login/?NTLM=1 и все будет. Но опять проблема — двоеточие и цифры могут пользователя смутить.

Ок, не беда. На вкладке «Состояние» -> «Состояние системы» нажимаем на кнопку «Действия» с зажатым Shift. Да-да, это у них такой «трюк». В появившемся контекстном меню нажимаем на «Включить SSH». Теперь мы можем достучаться до нашего фаервола по SSH и залогиниться в консоль.

Здесь в файле /opt/kerio/winroute/winroute.cfg меняем 4080 на 80 с помощью vi.

Так, Internet Explorer не хочет авторизовываться, Chrome авторизовывается, Firefox только после добавления сайта файервола в доверенные. Хм, это не очень хорошо ибо «корпоративный стандарт».

Опять ковыряния и поиски: добавление в trusted в Internet Explorer 9 не помогает, различные манипуляции с Network Security в GPO тоже.

В итоге, на текущий момент мне помогло добавление ключа «LmCompatibilityLevel» = DWORD:1 в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Ну и логон скрипт открывающий в фоне ссылку на скрипт входа в Kerio. Теперь оно таки входит!

Однако нужно еще разобраться с запуском логон-скрипта ибо не везде отрабатывает.
Ваш комментарий
адрес не будет опубликован

ХТМЛ не работает

Ctrl + Enter
Популярное