none
TMG2010 публикация web RRS feed

  • Вопрос

  • Добрый день.

    TMG 2010 опубликован zabbix как web сервер. Месяц назад все было ок, все работало.

    Недавно обновили zabbix 4.2 до 4.4 и спустя какое-то время увидел, что не работает публикация.

    Захожу на web выскакивает  окно аутентификации, ввожу логин и пасс и выскакивает 

    You must login to view this page.
    If you think this message is wrong, please consult your administrators about getting the necessary permissi



    Внутри сети аутентификация проходит ок. В тесте есть fortiweb, сделал публикацию через него и то же из вне все ок. Проблема явно где-то с ТМГ.

    на ТМГ

    Разрешенное соединение SRV-ISA 15.07.2020 15:40:40
    <id id="L_LogPane_LogType">Тип журнала: </id><id id="L_LogPane_WebProxyForward">Веб-прокси (обратный)</id>
    <id id="L_LogPane_Status">Состояние: </id>200 ОК.
    <id id="L_LogPane_Rule">Правило: </id>zabbix_test
    <id id="L_LogPane_Source">Источник: </id>Внешняя (109.d.s.x:59608)
    <id id="L_LogPane_Destination">Назначение: </id>Локальный компьютер (zabbix.domain.local 10.1.0.32:80)
    <id id="L_LogPane_Request">Запрос: </id>GET http://10.1.0.32/zabbix/zabbix.php?action=dashboard.view
    <id id="L_LogPane_FilterInfo">Информация фильтра: </id>Req ID: 0e188285; FBA cookie: exists=no, valid=no, updated=no, logged off=no, client type=unknown, user activity=yes
    <id id="L_LogPane_Protocol">Протокол: </id>https
    <id id="L_LogPane_User">Пользователь: </id>anonymous

    • <id id="L_LogPane_ClientAgent">Агент клиента: </id>Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
    • <id id="L_LogPane_ObjectSource">Источник объекта: </id>Интернет (Объект получен из Интернета, а его копия размещена в кэше.)
    • <id id="L_LogPane_CacheInfo">Данные кэша: </id>0x431c0000 (Ответ содержит заголовок CACHE-CONTROL: NO-CACHE или PRAGMA: NO-CACHE. Ответ содержит заголовок CACHE-CONTROL: NO-STORE. Ответ содержит заголовок CACHE-CONTROL: MUST-REVALIDATE или CACHE-CONTROL: PROXY-REVALIDATE. Ответ содержит заголовок EXPIRES. Ответ содержит заголовок SET-COOKIE. Ответ не должен быть кэширован.)
    • <id id="L_LogPane_ProcessingTime">Время обработки: </id>31<id id="L_LogPane_MimeType">MIME-тип: </id>text/html; charset=UTF-8

    Закрытое соединение SRV-ISA 15.07.2020 15:40:45
    <id id="L_LogPane_LogType">Тип журнала: </id><id id="L_LogPane_FirewallService">Служба межсетевого экрана</id>
    <id id="L_LogPane_Status">Состояние: </id>Соединение было завершено должным образом, корректно осуществлен процесс отключения с трехсторонним подтверждением, запущенным FIN.
    <id id="L_LogPane_Source">Источник: </id>Локальный компьютер (10.1.0.13:40074)
    <id id="L_LogPane_Destination">Назначение: </id>Внутренняя (zabbix.domain.local 10.1.0.32:80)
    <id id="L_LogPane_Protocol">Протокол: </id>HTTP

    • <id id="L_LogPane_BytesSent">Число отправленных байтов: </id>1887<id id="L_LogPane_BytesReceived">Число полученных байтов: </id>3001
    • <id id="L_LogPane_ProcessingTime">Время обработки: </id>0ms<id id="L_LogPane_OriginalClientIp">Первоначальный IP-адрес клиента: </id>10.1.0.13



    15 июля 2020 г. 13:12

Все ответы

  • Внутри сети аутентификация проходит ок. В тесте есть fortiweb, сделал публикацию через него и то же из вне все ок. Проблема явно где-то с ТМГ.



    Проблема явно где-то с Zabbix. Почему-то он вместо того, чтобы требовать аутентификации, возвращая, как положено, код возврата 401, возвращает сообщение о том, что аутентификация нужна, но - с кодом возврата 200. В результате TMG не понимает, что аутентифкация действительно требуется.

    Если у Zabbix теперь это такая фича, то можно попробовать в свойствах Listener для публикации установить параметр требовать аутентификацию (Require all user to authenticate).

    PS Все написанное выше сделано в предположении (для подтверждения которого в исходном вопросе недостаточно информации), что для публикации настроена базовая аутентификация в сквозном режиме (Basic Authentication на вкладке Authentication Delegation) , и Zabbix тоже использует базовую аутентификацию.


    Слава России!

    15 июля 2020 г. 14:39
  • Мммм не совсем понял.

    zabbix через ТМГ требует аутентификацию. Но после ввода правильного логина/пароля возвращает 

    You must login to view this page.
    If you think this message is wrong, please consult your administrators about getting the necessary permissi

    Если введу не верные данные, то zabbix отвечает, что не верные логин или пароль.

    Во вкладке Authentication Delegation) всю жизнь было 

    Без делегирования, но клиент может выполнять проверку подлинности.

    По listener я если честно не нашел Require all user to authenticate.  В проверке пользователей есть 

    - проверка подлинности на основе HTML форм

    - проверка подлинности HTTP

    - проверка подлинности ssl сертификата клиента

    - без проверки подлинности.


    15 июля 2020 г. 15:10
  • Про листенер не заморачивайтесь - я не угадал вашу конфигурацию: у вас TMG никоим образом не участвует в аутентификации.

    В данном случае предполагаю, что кому-то (то ли Zabbix, то ли вашему браузеру) что-то не нравится в результате аутентификации (скорее всего, он находится в куки, но это не точно). Не понравиться там есть чему: у вас и IP-адрес и протокол(HTTP/HTTPS), который видит Zabbix - совсем не тот, который использует для подключения браузер.

    Разбираться с этим сложно: надо смотреть, что отправляет Zabbix и что получает браузер - куки и заголовки HTTP - а потом смотреть в обратную сторону - что отправляется из браузера и попадает на веб-морду Zabbix. Более простой путь - искать рекомендации, как публиковать эту версию Zabbix через прокси (любой, они все работают схожим образом).

    Если TMG в вашей сети является шлюзом по умолчанию для Zabbix и если вы знаете, как настроить обращение к веб-морде Zabbix по HTTPS, можно пойти по более простому пути: сменить в публикации на TMG тип моста с HTTPS-HTTP на HTTPS-HTTPS и включить передачу адреса IP клиента (Request appears to come from original client на вкладке To).


    Слава России!

    15 июля 2020 г. 18:27
  • Благодарю Вас за время на ответы.

    TMG используется просто как реверс прокси, для web серверов. Шлюзом он так не является, просто точка входа web публикаций http/https web ресурсов организации.

    15 июля 2020 г. 18:39
  •  включить передачу адреса IP клиента (Request appears to come from original client на вкладке To).

    Код ошибки: 408. Время ожидания операции истекло. Ответ от удаленного сервера в установленное время не получен. Сервер может быть в данный момент недоступен. Повторите попытку позднее или обратитесь к администратору сервера. (12002)

    16 июля 2020 г. 8:40
  • Если TMG не является шлюзом по умолчанию, то включать передачу адреса IP клиента нельзя.

    Слава России!

    16 июля 2020 г. 11:54
  • Ясно.

    Не пойму почему Вы думаете дело в zabbix, если внутри все работает и публикация через другой реверс прокси то же работает.

    17 июля 2020 г. 8:29
  • Я так думаю, потому что вы поменяли версию Zabbix.

    Дело может быть, формально, и в TMG - поскольку он работает брнадмауэром, то там есть лимиты на разные части запросов и ответов HTTP. Может быть, новая схема аутентификации Zabbix вылетает за эти лимиты.

    Разбираться с этим IMHO проще со стороны Zabbix - посмотреть, что они там сделали нового в плане аутентификации, безопасности и т.п. А потом думать, как оно могло сказаться на работе через TMG. Или - посмотреть как можно это новое отключить,


    Слава России!

    17 июля 2020 г. 11:35