Discussione:
Accedere alle risorse di un client connesso in VPN
(troppo vecchio per rispondere)
Marco Nobili
2006-06-28 22:26:20 UTC
Permalink
Ho un client che accede in VPN a un dominio tramite ISA server e la
necessità di poter accedere dalla rete interna ad una risorsa
condivisa del client che ha ottenuto accesso (una stampante).
Nel dettaglio: il client si collega al dominio in VPN, contatta un
server HTTP che lancia una elaborazione su un altro server interno al
dominio. Questa elaborazione viene effettuata da un servizio che gira
con account di amministratore locale. Questo servizio deve poter
tornare sulla prima macchina originaria della richiesta, ovvero il
client che ha ottenuto accesso in VPN (da un dominio differente), e
stampare su una stampante collegata alla LPT1 (che posso condividere).
Nel caso di accesso interattivo, da server posso accedere al client se
conosco delle credenziali locali, basta inserirle nella maschera di
richiesta.
Nel caso di un servizio, però, non posso introdurle in questa
richiesta e la stampa non parte.
Ho risolto per il momento definendo sul client (utente locale) le
stesse credenziali dell'account utilizzato sul server per far girare il
servizio.
Ci sono altri metodi? Anche suggerimenti su programmi in grado di
realizzare una soluzione di questo tipo...

Ciao e grazie.

Marco
Edoardo Benussi [MVP]
2006-06-29 08:53:58 UTC
Permalink
Post by Marco Nobili
Ho un client che accede in VPN a un dominio tramite ISA server e la
necessità di poter accedere dalla rete interna ad una risorsa
condivisa del client che ha ottenuto accesso (una stampante).
Nel dettaglio: il client si collega al dominio in VPN, contatta un
server HTTP che lancia una elaborazione su un altro server interno al
dominio. Questa elaborazione viene effettuata da un servizio che gira
con account di amministratore locale. Questo servizio deve poter
tornare sulla prima macchina originaria della richiesta, ovvero il
client che ha ottenuto accesso in VPN (da un dominio differente), e
stampare su una stampante collegata alla LPT1 (che posso condividere).
Nel caso di accesso interattivo, da server posso accedere al client se
conosco delle credenziali locali, basta inserirle nella maschera di
richiesta.
Nel caso di un servizio, però, non posso introdurle in questa
richiesta e la stampa non parte.
Ho risolto per il momento definendo sul client (utente locale) le
stesse credenziali dell'account utilizzato sul server per far girare
il servizio.
Ci sono altri metodi?
non ho capito molto bene
ma quale tipo di spool di stampa genera
il servizio sul web server ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Marco Nobili
2006-06-29 09:01:58 UTC
Permalink
Post by Edoardo Benussi [MVP]
non ho capito molto bene
ma quale tipo di spool di stampa genera
il servizio sul web server ?
In servizio su web server comunica con un altro servizio su un server
applicativo, il quale alla fine dell'elaborazione lancia una "normale"
stampa, in genere su stampanti di rete (IP) che definisco in locale al
server applicativo.
Capisco sia un po' intricato ma in poche parole la cosa fondamentale è
che l'utente con quale gira il servizio del server applicativo sia in
grado di raggiungere la condivisione relativa alla stampante.

Ciao e grazie.

Marco
Edoardo Benussi [MVP]
2006-06-29 10:36:25 UTC
Permalink
Post by Marco Nobili
Capisco sia un po' intricato ma in poche parole la cosa fondamentale è
che l'utente con quale gira il servizio del server applicativo sia in
grado di raggiungere la condivisione relativa alla stampante.
aspetta.
continuo a non capire.
provo a domandare:
la stampa dev'essere prodotta
nella rete locale dove si trovano
i servers oppure dev'essere prodotta
dove si trova il client vpn ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Marco Nobili
2006-06-29 12:34:38 UTC
Permalink
Post by Edoardo Benussi [MVP]
la stampa dev'essere prodotta
nella rete locale dove si trovano
i servers oppure dev'essere prodotta
dove si trova il client vpn ?
Il foglio deve uscire da una stampante collegata alla LPT1 del client
che accede in VPN.
Il job che la produce gira come servizio su un server nella rete alla
quale si ha avuto accesso, la stessa del server web.

Ciao, Marco
Edoardo Benussi [MVP]
2006-06-29 13:13:22 UTC
Permalink
Post by Marco Nobili
Il foglio deve uscire da una stampante collegata alla LPT1 del client
che accede in VPN.
Il job che la produce gira come servizio su un server nella rete alla
quale si ha avuto accesso, la stessa del server web.
ancora una domanda:
ma il client che si collega in vpn
è sempre lo stesso o possono
essere diversi clients che si collegano in vpn ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Marco Nobili
2006-06-29 15:23:37 UTC
Permalink
Post by Edoardo Benussi [MVP]
ma il client che si collega in vpn
è sempre lo stesso o possono
essere diversi clients che si collegano in vpn ?
Diversi client (4) dovranno collegarsi utilizzando un utente diverso
per ogni client e stampare ognuno sulla propria LPT1.
Ho già provveduto a assegnare IP fisso a questi 4 client quando si
collegano (ovviamente, 4 indirizzi diversi), specificandolo nelle
impostazioni dell'utente da active directory.

Dai, a questo punto sono curioso di sentire la proposta! ;-)


Ciao e grazie, Marco
Edoardo Benussi [MVP]
2006-06-29 15:39:00 UTC
Permalink
Post by Marco Nobili
Diversi client (4) dovranno collegarsi utilizzando un utente diverso
per ogni client e stampare ognuno sulla propria LPT1.
Ho già provveduto a assegnare IP fisso a questi 4 client quando si
collegano (ovviamente, 4 indirizzi diversi), specificandolo nelle
impostazioni dell'utente da active directory.
Dai, a questo punto sono curioso di sentire la proposta! ;-)
beh, non credo sia niente di speciale:
io ho appena fatto una applicazione asp.net che
restituisce al client qualsiasi (no vpn)
un file pdf creato a runtime che mi sembra
una soluzione molto più flessibile
per questo ti ho fatto certe domande
anche se non in numero sufficiente per
capire come mai debba essere il server
stesso ad inviare la stampa sulla stampante del client.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Marco Nobili
2006-06-29 16:08:22 UTC
Permalink
Post by Edoardo Benussi [MVP]
io ho appena fatto una applicazione asp.net che
restituisce al client qualsiasi (no vpn)
un file pdf creato a runtime che mi sembra
una soluzione molto più flessibile
Sarei d'accordo, se non per un particolare, ovvero che le stampanti su
LPT1 sono stampanti ad aghi, e da lì la necessità di connettere
direttamente server e stampante... ;-)

Per tutte le altre stampe (non aghi) il server restituisce, infatti, un
PDF come da te correttamente previsto!

Ciao, Marco
Edoardo Benussi [MVP]
2006-06-29 18:16:08 UTC
Permalink
Post by Marco Nobili
Sarei d'accordo, se non per un particolare, ovvero che le stampanti su
LPT1 sono stampanti ad aghi, e da lì la necessità di connettere
direttamente server e stampante... ;-)
capisco.
ma se i 4 clients vpn hanno ip fisso
quando si connettono in vpn
non puoi mappare sul server le 4 stampanti ad aghi ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Marco Nobili
2006-06-30 10:55:48 UTC
Permalink
Post by Edoardo Benussi [MVP]
ma se i 4 clients vpn hanno ip fisso
quando si connettono in vpn
non puoi mappare sul server le 4 stampanti ad aghi ?
Se dal server li aggiungo mettendo il nome della condivisione,
ovviamente le vedo come stampanti di rete non come locali, per cui non
posso "ricondividerle".
Io dal servizio posso stampare solo su una share di rete raggiungibile,
per intenderci non potrei stampare sulla LPT1 del server se non
l'avessi condivisa.
Secondo te posso sfruttare il fatto di poter raggiungere quelle
stampanti tramite indirizzo IP per aggiungere una coda di stampa TCP/IP
locale sul server? Non saprei ovviamente come sistemare la richiesta di
autenticazione...

Ciao, Marco
Edoardo Benussi [MVP]
2006-06-30 14:33:15 UTC
Permalink
Post by Marco Nobili
Post by Edoardo Benussi [MVP]
ma se i 4 clients vpn hanno ip fisso
quando si connettono in vpn
non puoi mappare sul server le 4 stampanti ad aghi ?
Se dal server li aggiungo mettendo il nome della condivisione,
ovviamente le vedo come stampanti di rete non come locali, per cui non
posso "ricondividerle".
e perchè dovresti "ricondividerle" ?
non basta che il server invii la stampa
su quella stampante che per lui
è una stampante di rete ?
Post by Marco Nobili
Secondo te posso sfruttare il fatto di poter raggiungere quelle
stampanti tramite indirizzo IP per aggiungere una coda di stampa
TCP/IP locale sul server? Non saprei ovviamente come sistemare la
richiesta di autenticazione...
quale richiesta di autenticazione ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Marco Nobili
2006-07-02 10:40:27 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by Marco Nobili
Se dal server li aggiungo mettendo il nome della condivisione,
ovviamente le vedo come stampanti di rete non come locali, per cui non
posso "ricondividerle".
e perchè dovresti "ricondividerle" ?
non basta che il server invii la stampa
su quella stampante che per lui
è una stampante di rete ?
Mettiamo di avere questi "attori":
DOMINIOA\SERVERWEB
DOMINIOA\SERVERAPPL
DOMINIOB\CLIENT con stampante condivisa \\CLIENT\PRINTER

DOMINIOB\CLIENT accede in VPN a DOMINIOA e raggiunge SERVERWEB.
Usando l'interfaccia web lancia un job su SERVERAPPL (processato da un
servizio che gira con un account del tipo SERVERAPPL\Admin) e che vuole
stampare su \\CLIENT\PRINTER. Il servizio non chiede credenziali quindi
deve essere in grado di accedere alla share.

Quello che tu proponi è di loggarmi in modo interattivo usando
SERVERAPPL\Admin e aggiungere la stampante \\CLIENT\PRINTER salvando la
password a ogni richiesta di autenticazione?

Io al momento ho fatto così, o per meglio dire da SERVERAPPL\Admin ho
provato ad accedere a \\CLIENT e ho salvato la password.
Ho provato anche il viceversa, ovvero a creare un account locale su
\\CLIENT con lo stesso nome dell'account utilizzato dal servizio su
SERVERAPPL (rimanendo nell'esempio, ho creato un \\CLIENT\Admin) con la
stessa password. In questo caso, se loggato come SERVERAPPL\Admin provo
ad accedere a \\CLIENT, riesco ad autenticarmi senza nessuna richiesta
perché utilizzo NTLM. Però ovviamente questo significa salvare una
password amministrativa di un server nel SAM locale di un client.
Questi che ho descritto sono a mio parere due workaround, ovvero non li
considero soluzioni "stabili", mi farebbe piacere sapere se c'è un
metodo migliore.
In ogni caso grazie per il confronto!

Ciao, Marco
Edoardo Benussi [MVP]
2006-07-02 17:25:14 UTC
Permalink
Post by Marco Nobili
DOMINIOA\SERVERWEB
DOMINIOA\SERVERAPPL
DOMINIOB\CLIENT con stampante condivisa \\CLIENT\PRINTER
DOMINIOB\CLIENT accede in VPN a DOMINIOA e raggiunge SERVERWEB.
Usando l'interfaccia web lancia un job su SERVERAPPL (processato da un
servizio che gira con un account del tipo SERVERAPPL\Admin) e che
vuole stampare su \\CLIENT\PRINTER. Il servizio non chiede
credenziali quindi deve essere in grado di accedere alla share.
Quello che tu proponi è di loggarmi in modo interattivo usando
SERVERAPPL\Admin e aggiungere la stampante \\CLIENT\PRINTER salvando
la password a ogni richiesta di autenticazione?
Io al momento ho fatto così, o per meglio dire da SERVERAPPL\Admin ho
provato ad accedere a \\CLIENT e ho salvato la password.
Ho provato anche il viceversa, ovvero a creare un account locale su
\\CLIENT con lo stesso nome dell'account utilizzato dal servizio su
SERVERAPPL (rimanendo nell'esempio, ho creato un \\CLIENT\Admin) con
la stessa password. In questo caso, se loggato come SERVERAPPL\Admin
provo ad accedere a \\CLIENT, riesco ad autenticarmi senza nessuna
richiesta perché utilizzo NTLM. Però ovviamente questo significa
salvare una password amministrativa di un server nel SAM locale di un
client. Questi che ho descritto sono a mio parere due workaround,
ovvero non li considero soluzioni "stabili", mi farebbe piacere
sapere se c'è un metodo migliore.
ora hai spiegato perfettamente lo scenario,
fammici riflettere.
ho visto che hai chiesto anche
in winserver ed ho evitato di rispondere
per lasciare la possibilità di sentire altre campane.
Post by Marco Nobili
In ogni caso grazie per il confronto!
grazie a te,
scriverò qui l'esito delle mie riflessioni.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Edoardo Benussi [MVP]
2006-07-03 09:51:47 UTC
Permalink
Post by Edoardo Benussi [MVP]
ho visto che hai chiesto anche
in winserver ed ho evitato di rispondere
per lasciare la possibilità di sentire altre campane.
ho visto che ti ha risposto Leone Randazzo,
vediamo che ne pensi.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Marco Nobili
2006-07-03 17:25:01 UTC
Permalink
Post by Marco Nobili
Io al momento ho fatto così, o per meglio dire da SERVERAPPL\Admin ho
provato ad accedere a \\CLIENT e ho salvato la password.
Ho provato anche il viceversa, ovvero a creare un account locale su
\\CLIENT con lo stesso nome dell'account utilizzato dal servizio su
SERVERAPPL (rimanendo nell'esempio, ho creato un \\CLIENT\Admin) con la
stessa password. In questo caso, se loggato come SERVERAPPL\Admin provo
ad accedere a \\CLIENT, riesco ad autenticarmi senza nessuna richiesta
perché utilizzo NTLM. Però ovviamente questo significa salvare una
password amministrativa di un server nel SAM locale di un client.
Le questioni che mi lasciano qualche dubbio sono essenzialmente:

1) caso delle credenziali del server salvate nel SAM del client:
potenziale buco di sicurezza (il SAM locale potrebbe ssere attaccabile
in modo molto semplice ricavando credenziali amministrative, per la
necessità da parte del servizio di lavorare a quel livello sul server)

2) caso delle credenziali del client salvate sul server: se le
credenziali del client cambiano (le policy locali non sono in un
dominio amministrato da me) non saprei come cambiarle sul server.
Qui in realtà il problema è che non conosco come funzioni il
salvataggio delle credenziali. Anzi, se le salvo, non so dove sono
immagazzinate e come cambiarle o cancellarle.
In genere sui client uso:
http://www.nirsoft.net/utils/network_password_recovery.html
ma sui server spesso non mi funziona bene. Avete informazioni o
prodotti da consigliarmi?

Ciao, Marco
Edoardo Benussi [MVP]
2006-07-04 08:07:25 UTC
Permalink
Post by Marco Nobili
potenziale buco di sicurezza (il SAM locale potrebbe ssere attaccabile
in modo molto semplice ricavando credenziali amministrative, per la
necessità da parte del servizio di lavorare a quel livello sul server)
giusto.
Post by Marco Nobili
2) caso delle credenziali del client salvate sul server: se le
credenziali del client cambiano (le policy locali non sono in un
dominio amministrato da me) non saprei come cambiarle sul server.
Qui in realtà il problema è che non conosco come funzioni il
salvataggio delle credenziali. Anzi, se le salvo, non so dove sono
immagazzinate e come cambiarle o cancellarle.
io non capisco perchè debba essere
il server ad inviare questa stampa
invece di consegnare lo spool al client
e che poi sia quest'ultimo a "smazzarsela" come preferisce.

ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Marco Nobili
2006-07-04 08:56:12 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by Marco Nobili
2) caso delle credenziali del client salvate sul server: se le
credenziali del client cambiano (le policy locali non sono in un
dominio amministrato da me) non saprei come cambiarle sul server.
Qui in realtà il problema è che non conosco come funzioni il
salvataggio delle credenziali. Anzi, se le salvo, non so dove sono
immagazzinate e come cambiarle o cancellarle.
io non capisco perchè debba essere
il server ad inviare questa stampa
invece di consegnare lo spool al client
e che poi sia quest'ultimo a "smazzarsela" come preferisce.
He he, infatti l'altro post riguardava ben questa strada! ;-)
Sto facendo uno studio di fattibilità e valutando la complessità
delle varie soluzioni, da qui il "piacere" di confrontarmi con altri
esperti.

Comunque la mia "ignoranza" a proposito delle credenziali salvate
rimane, voi cosa usate?

Ciao, Marco
Edoardo Benussi [MVP]
2006-07-04 09:47:31 UTC
Permalink
Post by Marco Nobili
He he, infatti l'altro post riguardava ben questa strada! ;-)
Sto facendo uno studio di fattibilità e valutando la complessità
delle varie soluzioni, da qui il "piacere" di confrontarmi con altri
esperti.
esperto è una parola grossa ;-)
Post by Marco Nobili
Comunque la mia "ignoranza" a proposito delle credenziali salvate
rimane, voi cosa usate?
io non le uso, tutto quello che faccio
è sempre un processo asincrono dove
il web server restituisce qualcosa al client
senza che server o client debbano
memorizzarsi credenziali dell'altro da qualche parte.
è una soluzione brutta dal punto di vista della sicurezza.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Continua a leggere su narkive:
Loading...