آموزش کریو کنترل (Kerio Control) __ بخش اول آموزش کریو کنترل (Kerio Control) __ بخش دوم آموزش کریو کنترل (Kerio Control) __ بخش سوم آموزش کریو کنترل (Kerio Control) __ بخش چهارم آموزش کریو کنترل (Kerio Control) __ بخش پنجم آموزش کریو کنترل (Kerio Control) __ بخش ششم آموزش کریو کنترل (Kerio Control) __ بخش هفتم آموزش کریو کنترل (Kerio Control) __ بخش هشتم آموزش کریو کنترل (Kerio Control) __ بخش نهم آموزش کریو کنترل (Kerio Control) __ بخش دهم آموزش کریو کنترل (Kerio Control) __ بخش یازدهم آموزش کریو کنترل (Kerio Control) __ بخش دوازدهم
اضافه کردن کاربران از طریق سرویس Directory
سرویس هایی که توسط کریو کنترل پشتیبانی می شوند Microsoft Active Directory Service و Apple Open Directory Service هستند.
چرا از این سرویس در کریو استفاده کنیم:
✅ مدیریت ساده تر و متمرکز کاربران شبکه با استفاده از پایگاه داده LDAP
✅ تغییرات اعمال شده بر روی LDAP Database بطور خودکار بر روی کریو نیز آپدیت می شوند.
✅ نام کاربری و پسورد کاربران با حساب کاربری سرویس Directory یکی خواهد بود.
نکات:
✅ تغییرات یکطرفه است، به این معنی که اضافه کردن یک کاربر جدید در کریو کنترل نمی تواند کاربر جدیدی در دایرکتوری ایجاد کند. (کاربر ایجاد شده Local خواهد بود.)
✅ از کاراکتر های ASCII برای ساخت کاربر در سرویس دایرکتوری استفاده کنید.
✅ اگر کاربری را درون Active Directory غیر فعال کنید در کریو کنترل نیز غیر فعال خواهد شد.
✅ اگر کاربری را درون Apple Open Directory غیر فعال کنید، این کاربر درون کریو فعال می ماند.
اتصال به Microsoft Active Directory
1) در پنل مدیریت به تب Domain and User Login و سپس تب Directory Service بروید.
2) برای اتصال به Active Directory مجبور هستید که کریو به دامین خود Join کنید، بنابراین روی دکمه Join Domain کلیک کنید.
3) در پنجره جدیدی که باز می شوند نام دامین خود و Credential مربوط به آن را وارد کنید.
4) سپس IP دامین سرور خود را وارد کرده و OK را بزنید. اگر Join شدن موفقیت آمیز باشد می توانید آیکون سبز رنگی را مشاهده کنید و همچنین با زدن دکمه Test Connection ارتباط بین کریو و Domain را چک نمایید.
5) سپس تیک گزینه Map user accounts and groups from a directory service را بزنید. سپس نام دامین خود را وارد کنید و سپس نام کاربری و پسورد کاربری که دسترسی های لازم به دیتابیس اکتیو دایرکتوری دارد را به صورت User@domain وارد نمایید.
6) حالا درقسمت Users می توانید کاربران سینک شده با اکتیو دایرکتوری خود را مشاهده کنید.
اتصال به Apple Open Directory
1) در پنل مدیریت به تب Domain and User Login و سپس تب Directory Service بروید.
2) سپس با زدن تیک Map user accounts and groups from a directory service، گزینه Apple Open Directory را انتخاب نمایید. سپس نام کاربری و پسورد کاربری که دسترسی های لازم به دیتابیس اکتیو دایرکتوری دارد را به صورت User@domain وارد نمایید.
3) در قسمت Primary Server/Secondary Server و آدرس IP یا DNS Name دامین سرور های Primary و Secondary را وارد کنید.
4) در نهایت در قسمت Users می توانید کاربران سینک شده با اکتیو دایرکتوری خود را مشاهده کنید.
احراز هویت کاربران
هر کاربر بسته به دسترسی هایی که دارد می تواند به حساب کاربری خود در کریو متصل شود. این اتصال به چند صورت انجام می شود که در زیر به توضیح آن می پردازیم:
به صورت دستی (Manually)
در مرورگر کاربر با زدن آدرس کریو می تواند به آن متصل شود: Https://KerioControl:4081 و یا Http://KerioControl:4081. همچنین با زدن آدرس Https://KerioControl:4081/admin میتواند به پنل مدیریت کریو متصل شود. (البته اگر به او این اجازه را داده باشید.)
به صورت Automatic
در این روش بر اساس IP هاست هایی که درون رنج LAN داخلی وجود دارد، کاربرانی که از این رنج استفاده می کنند به صورت اتوماتیک به فایروال متصل می شوند. این گزینه هنگام ساخت کاربر در تب Addresses توضیح داده شد. البته این روش برای دستگاه هایی که چند کاربر از آن استفاده می کند توصیه نمی شود.
از طریق Redirection
در این روش کاربر در صورت وارد شدن به هر وب سایت با صفحه لاگین مواجه شده و برای دسترسی به آن وب سایت نیاز دارد که به حساب کاربری خود لاگین کند.
از طریق NTLM
اگر کاربران شبکه از مرورگر های Internet Explorer و یا Firefox/SeaMonkey استفاده می کنند و به یک سرویس دامین Windows NT و یا Active Directory متصل هستند با استفاده از این گزینه می توانند بدون نیاز به لاگین وارد حساب کاربری خود شوند. (نیازی به وارد کردن اطلاعات در Login Page نیست.)
Automatically logout
در این روش یک Timeout برای مدت زمان لاگین کاربر در نظر گرفته می شود و این بدین معنی است که اگر کاربر بعد از اتمام کار خود Logout کردن را فراموش کرد، بعد از اتمام مدت زمان Timeout به صورت Automatic از حساب کاربری خود خارح شود. این مدت زمان به صورت پیش فرض 120 دقیقه است که میتوان آن را کم و یا بیشتر کرد. (برای شبکه های عمومی و وایرلس این مدت زمان را هرچه کوتاه تر در نظر بگیرید بهتر است. برای مثال 15 دقیقه).
نویسنده: آرزو ملکی
استاد من اینترنت رو از طریق پروxی به کلاینت ها دادم و تو کریو تعریف کردم که برای پروxی هم به محض باز شدن مرورگر یوزر پسورد بخواد . حالا سوال اینه که با هر مرورگری که میخوام برم تو اینترنت درست کار میکنه و یوزر پسورد رو میخواد ولی با اینترنت اکسپلورر کار نمیکنه و با این مرورگر راحت تو هر سایتی که بخوام میرم بدون زدن هیچ یوزر پسوردی . به نظر شما مشکل از کجاست؟
و سوال بعدم اینه که شما تو اموزشها وقتی میخواستید اینترنت رو از طریق nat به اشتراک بزارید تو شبکه های ورک گروپ یه کاری کردید که کاربران به محض ورود به اینترنت به صفحه لاگین کریو برن و از طریق همون ادرس هم میتونستن میزان ترافیک مصرفیشون رو چک کنن . حالا سوالم اینه که از طریق روش پروxی چجوری باسد میزان ترافیک مصرقیشون رو چک کنن ؟
سلام دوست عزیز
اگر پراکسی سرور شما خود کریو کنترل هست، توی تنظیماتش باید تیک قسمتی که میگه تنظیمات مرورگر به طور اتوماتیک از طریق کریو انجام بشه رو بزنید. همچنین توی مرورگرهاتون در قسمت connection Setting باید گزینه انتخابی خودتون رو روی گزینه Auto-Detect بذارید. اینها رو چک کنید و اگه باز مشکلی بود به من ایمیل بدید. maleki@nikansec.com
آموزش ها تموم شد ؟ یا هنوز ادامه داره
من همشو خوندم نکات خوبی داشت تشکر از زحمات شما
ممنونم از نظر لطف شما
بله آموزش ها ادامه دارند و در اولین فرصت قسمت بعدی در سایت قرار خواهد گرفت
احراز هویت از طریق NTLM چطوریه
غیر از زدن تیکش باید کار دیگه ای کرد؟
trafic rule باید چطوری باشه ؟
اون گزینه Redirection را هم لازمه همزمان فعال کنیم یا خیر؟
تنها تیک NTLM را بزنید و در مرورگر کاربران آدرس کریو را در قسمت Trusted Sites وارد کنید در قیمت Internet Option
با سلام
یوزهای من بدون لاگین میتونن برنامه های مثل تلگرام رو استفاده کنن ولی web page رو نمی تونن — کسی میدونه مشکل چیه ؟ باید زمانی که لاگین نیستن نتونن تلگرام رو استفاده کنن ولی بدون لاگین تلگرام اینترنتت داره
سلام
مشکل در رول های شما هست که قبلا توضیح صحیحشو به دوستان دیگه دادم تو بخش های دیگه
ممنون از جوابتون , میشه لطف بفرمایید من کجا باید درست اش کنم یا اونی که به دوستان فرمودید پیدا کنم ؟؟
چون من دقیقا طبق روالی که شما فرمودید رفتم کانفیگ کردم
با تشکر فراوان
ابتدا یک رول بنویسید
مبدا: کاربران احراز هویت شده
مقصد: اینترنت
سرویس: همه
اکشن: NAT
سپس یک رول بالاتر از اون بنویسید
مبدا: کارت شبکه لوکال
مقصد: اینترنت
سرویس: HTTP و HTTPS
اکشن: NAT
موفق باشید
سلام، با تشکر از شما
این دوتا رول اگه نوشته بشه سایت گوگل باز نمیشه؟؟!!!!
ولی بقیه سایتا درسته!!!!!
اشکالی نداره
بهتر از اینه که گوگل باز شه و کاربرا از فیلتر شما رد بشن.
به جاش توی پالیسی ها می تونید Home Page کاربرا رو یه سایت غیر HTTPS ای قرار بدید تا مشکل حل شه.
با سلام من طبق آموزش کریو رو جوین دومین کردم و لیست یوزرها و گروپ ها به خوبی نمایش داده می شود . اما یه مشکل اساسی دارم . در قسمت ترافیک رول هر رولی که با سورس آی پی ست می کنم به خوبی کار می کنه . اما اگر سورس رو یوزر یا گروپی از اکتیو(دامنه) انتخاب کنم کار نمیکنه ! انگار اصلا یوزر و گروپ هارو نمیشناسه ! مشکل از چی میتونه باشه ؟ لطفا راهنمایی بفرمایید
مطمئن هستید ارتباط با دامین برقرار هست؟ ساعت کریو رو با ساعت دامین یکسان کنید حتما. باز هم اگه مشکل داشت یه اسکرین شات برام ایمیل کنید maleki@nikansec.com
با سلام و تشکر فراوان از توضیحات و زحمات شما استاد گرامی.
سوالی که داشتم از حضورتون:
کلاینت های ما از دامین سرور اضافه شدن، یعنی با اکتیودایرکتوری لینک شده برنامه و تمام کاربران بدون مشکل با وارد کردن نام کاربری و رمز به اینترنت دسترسی دارن. ولی مشکلی که هست، کاربران وقتی لب تاب شخصی یا هر وسیله ی دیگه که از خارج شرکت میارن برنامه رو نصب میکنن و به اینترنت دسترسی پیدا میکنن.
آیا میشود کاری کرد که هر کلاینت فقط از طریق مک آی دی کانکت بشه، در غیر اینصورت مجوز نداشته باشد؟
یعنی کاربر شماره یک فقط بتونه از کامپیوتر شماره یک وارد شود؟ امکانش نباشه از کامپیوتر شماره دو وارد بشه، و نه بتونه از لب تاب شخصی وارد شود. همه بلاک بشن.
ممنون از راهنمایی شما استاد عزیز
سلام و متشکرم از نظر لطف شما
توی هر یوزر وقتی بازش میکنید توی تب آخر میتونید آی پی و یا مک آدرس کاربر رو بهش بدید تا فقط از اون آی پی و مک خاص بتونه لاگین بکنه
اما اینکه بگیم یک کاربر از سیستم دیگه ای نتونه لاگین کنه فعلا در کریو امکانپذیر نیست.
سلام ببخشید من خودم ادمین هستم و پسورد ادمین kerio را عوض کردم و الان فراموش کردم چه باید بکنم ممنون
سلام ببخشید من خودم ادمین هستم و پسورد ادمین kerio را عوض کردم و الان یادم نیست چطور می تونم وارد صفحه ادمین ام بشم و پسورد را عوض بکنم
سلام وقتتون به خیر ببخشید من پسورد ادمین kerio را فراموش کردم و خودم ادمین هست چه طور میتونم این پسورد ر ا بازیابی کنم
من همیشه به دوستان توصیه میکنم یک یوزر دیگه با دسترسی ادمین داشته باشن تا بتونه در این مواقع بهشون کمک کنه.
در نسخه های قدیمی تر با استفاده از FTP می شد فایل پسوورد رو از توی Root کرنل پیدا کرد و اونو تغییر داد. اما در ورژن های جدید تر این کار بسیار مشکل شده.
سعی کنید راه های موجود توی سایت کریو رو تست کنید و البته هیچ تضمینی وجود نداره که جواب بده
با سلام. ببخشید من میخوام کاری بکنم که یه سری سیستم های خاص مثل سرور برای استفاده از اینترنت یوزر و پسوردی وارد نکنه مثلا برای آپدیت شدن. چون معمولا کسی پشت سرور نیست که بخواد چیزی وارد کنه.
سلام
بالاتر از همه Rule هایی که دارید یک Rule به صورت زیر اضافه کنید:
Source: Server IP
Destination: Internet Interfaces
Service: any
Nat: yes
در این حالت سرویس های درون سرور بدون نیاز به احراز هویت اینترنت دار میشن اما برای باز کردن مرورگر و وب سایت همچنان باید نام کاربری و پسوورد وارد کنند. برای مثال سرور آنتی ویروس بدون احتیاج به احراز هویت میتونه آپدیت بگیره ولی اگه کسی پشت اون سرور بشینه نمی تونه با مرورگر پیج باز کنه.
موفق باشید
سلام
واقعا ممنونم از آموزشاتون و راهنمایی هایی که میکنید واقعا مفید هستند
آیا میشود یک رنج آی پی را اجازه استفاده از اینترنت داد که بتونن از http و https بدون وارد کردن یوزر و پسورد استفاده کنند…؟ بطور مثال برای موبایل میخواهم آزادانه از اینترنت استفاده کنند…
سلام
ممنون که مورد توجهتون قرار گرفته
بله کاملا امکان داره
رنج رو توی ترافیک رول ها تعریف کنید که دسترسی آزادانه به اینترنت داشته باشن و اون رو در بالاترین خط قرار بدید. با این کار هرچند برای کاربرا صفحه لاگین باز میشه اما مثلا اگه تلگرامشون رو باز کنن اینترنت دارن.
سلام من یک مشکل دارم استاد و انم اینه:
کریو من به دامین جوین هست
مشکل اینه که عمل NTLM برای بیشتر کلاینت هام انجام میشه
ولی بعضی از کامپیوتر ها رو هرکاری میکنم عمل NTLM اتوماتیک انجام نمیشه و نمیتونن به اینترنت متصل شن
سلام
بارها و بارها ورژنهای گوناگون کریو رو تو محیط تست نصب کردم ولی باز هم نشدمشکل اینه:
تو محیط تست یک دامین راه انداختم + کریو کنترل
کریو رو جوین به دامین کردم
یک رول میخوام بنویسم که فقط به یک یوزر خاص از دومین اجازه دسترسی به اینترنت بدم.اومدم در قسمت Source کاربر مورد نظر و همچنین Internal Interface رو انتخاب کردم اما این کار سبب شده که همه کاربران به اینترنت دسترسی داشته باشند انگار که دو پارامتر USername و Internal interface ای که در قسمت Source اضافه کردم با هم AND نشده اند بلکه OR اند.
برای رفع این مشکل باید چیکار کنم؟
راه حلی برای رفع این مشکل دارید؟اصلا آیا شدنی هست یا خیر؟
بارها و بارها ورژنهای گوناگون کریو رو تو محیط تست نصب کردم ولی باز هم نشدمشکل اینه:
تو محیط تست یک دامین راه انداختم + کریو کنترل
کریو رو جوین به دامین کردم
یک رول میخوام بنویسم که فقط به یک یوزر خاص از دومین اجازه دسترسی به اینترنت بدم.اومدم در قسمت Source کاربر مورد نظر و همچنین Internal Interface رو انتخاب کردم اما این کار سبب شده که همه کاربران به اینترنت دسترسی داشته باشند انگار که دو پارامتر USername و Internal interface ای که در قسمت Source اضافه کردم با هم AND نشده اند بلکه OR اند.
برای رفع این مشکل باید چیکار کنم؟
راه حلی برای رفع این مشکل دارید؟اصلا آیا شدنی هست یا خیر؟
سلام دوست عزیز
اگه میخواید همه کابران شبکه شما دسترسی به اینترنت نداشته باشند و فقط کاربر مورد نظر شما اینترنت داشته باشه باید Rule مربوط به Internal Interface یا همون Internet Access رو پاک کنید و جاش یه Rule بنویسید که Source اون فقط کاربر مورد نظر شما باشه و نه بیشتر.
وقتی توی رول سورس رو میزار یوزر اینترنت دار نمیشه کاربر مشکلم همینه
دوست عزیز سوالی که پیش میاد این هست که منظور شما کابران لوکال هست یا کاربران اکتیو دایرکتوری؟
و یا اینکه رولی که می نویسید اولویت اجراش به چه شکله؟
یه اسکرین شات از صفحه ترافیک رول بگیرید و برای من ایمیل کنید.
maleki@nikansec.com
منظورم یوزرهای اکتیو دایرکتوری هستند رولم مشکلی نداره مطمین هستم اینم عکسش:
http://uupload.ir/files/yu00_1.jpg
سلام خدمت اساتید بزگ . من یک شبکه لوکال دارم که با گریو. انت نتشون رو. کنترل میکنم . مشکل با اکسس پوینت هست که مستقیم به شبکه داخلیم وسله ( Tp-link Archer C25) وقتی کارابر های وایرلس موبایلیم وصل میشن به اکسس پوینت خیلی زمان میبره تا صفحه لاگین کریو خود به خود. باز شه و. بعد. از باز شدن یه پیغام میده که میگه باید سرتیفیکیت نصب کنی و بار ها و بارها نصب میکنیم ولی با این حال یا خیلی طول میکشه که باز شه یا گاهی کلا باز نمیشه برای ارتباط با کریو بخصوص در. آی فون ها – اندرویید. خیلی راحت تر ارتباط میگیره . راهی هست که بشه این مشکل رو. حل کرد. .؟ کسی این تجربه رو داشته .؟!
سلام خدمت اساتید. عزیز . لطفا یه اهنمایی در. مورد. نصب صحیح اکسس پوینت به کریو. رو. توضیح بدین چون من بعد. ا اتصال به اکسس پوینت در. گوشی ای فون صفحه لاگین خیلی طول میکشه تا خود. به خود. باز شه و. گاهی هم اصلا اتفاقی نمی افته و کل ارتباط برقرار نمیشه ولی در. اندرویید. بعد. از کانکت شده خیلی سریع پیغام برای ورد میده
سلام دوست عزیز
این مشکل در گوشی های آیفون وجود داره و فعلا راه حلی براش در دسترس نیست.
salam chetori user o mahdod konim ke faghat eak user roe eak pc kar kone va ba har user ealk nafar log in bokone
سلام دوست عزیز
چنین قابلیتی وجود نداره متاسفانه
سلام
1سوال داشتم وقتی 1یوزر با 1 کلاینت میخواد 1سایت باز کنه صفحه آتنتیکیت کریو ظاهر میشه و اگر صفحه رو بست دوباره کروم یا فایر فاکس رو باز کرد بدون آتنتیکیت وارد میشه اول این مشکل چجوری حل میشه که کاربرا واسه هر بار وارد شدن توی هر بروزری صفحه آتنتیکیت بیاد
دوم اینکه اگر 1 یوزر بخواد با یوزر خودش روی سیستم همکارش وارد بشه چون یوزر خودش بدون محدودیت هست چجوری میشه که یوزر اولی لوگ آوت بشه با یوزر دومی لوگ این کنه
سلام دوست عزیز
اینکه شد دو تا سوال 🙂
شما اولا باید تیک Alwayes authentication رو بزنید و ثانیا مقدار timeout رو از 120 دقیقه پایین تر بیارید.
در مورد سوال دوم هم باید حتما توی مرورگر آی پی کریو روز بزنه بعد یه صفحه براش باز میشه که لینکی داره به نام Logout با زدن اون برای مجدد اینترنت داشتن باید حتما یوزر و پس رو وارد کنه کاربر
در اداره بعضی آی پی ها تلگرام رو باز میکنه بعضی از آی پی ها نمیتونن
میخوام یه آی پی ای که نمیتونه به تلگرام متصل بشه رو متصل کنم
ممنون میشم راهنماییم کنید
سلام دوست عزیز
ابتدا باید علت اینکه چرا بعضی آی پی ها باز میکنن و بعضیا باز نمی کنن مشخص شه اما به طور کلی من فکر میکنم ایراد از Rule ها تون باشه.
در صورت امکان یه عکس از رول هاتون برام ایمیل کنید تا بررسی کنم.
ممنون
maleki@nikansec.com
سلام
من از دیروز کریو رو کانفیگ کردم و فعال هست. مشکلی که دارم دائم ping کریو برای یوزرها میره و دائم اینترنت قطع میشه. مثلا شب درسته خاموش می کنیم میریم صبح میایم میبینیم سرور قطع هست و حتی پینگ هم نداره.
من از قسمت securety تمام گزینه ها رو خاموش کردم مثل spoofing و …. اما بازم انگار ip ها بلاک میشن.
حدود 30 تا سیستم هستیم.
لطفا راهنمایی کنید.
با تشکر
سلام
بله این مشکل وجود داره و گاهی نمیشه کاری کرد!
سعی کنید از کریو در لبه بیرونی شبکه استفاده نکنید، یعنی اگه چیزی مثل میکروتیک دارید سمت بیرونیش بذارید
فقط یه چیزی رو متوجه نشدم، منظورتون از سرور چیه؟ سرور داخلی؟ اگه تو سمت داخلی مشکل دارید کانفیگتون اشتباه هست. یه عکس از کانفیگ Traffic Rule برام ایمیل کنید لطفا
maleki@nikansec.com
سلام من پسورد لاگین ادمین رو فراموش کردم چیکار باید کنم؟
سلام
راهی وجود نداره متاسفانه
اگر یوزری با دسترسی به پنل ادمین داشته باشید میشه اون رو بازیابی کرد. یا مثلا یه بکاپ از تنظیمات کریو.