Страница 1 из 1
Задать параметр NLA в шаблоне
Добавлено: Чт дек 03, 2020 1:06 pm
flameflower
Доброго дня.
Читая параметры конфигурации наткнулся на то, что можно явно задать параметр NLA
Однако в шаблоне такой финт я не смог сделать.
Идея какая. Хочу что бы по умолчанию стоял NLA, но в некоторых случаях была возможность подключаться без.
Например смена пароля.
Re: Задать параметр NLA в шаблоне
Добавлено: Чт дек 03, 2020 1:47 pm
flameflower
Еще, в догонку, сюда же.
Кейс такой. За одной рабочей станцией работают несколько человек. Для удобства переключения между сессиями было настроено 2 одновременных подключения к одному серверу. Конфиг вот такой:
Код: Выделить всё
clienthostname=some_host_name
screenswitch=Win-Ctrl-N
turnoffmenu=always
connection
server=servername,NLA
displayName=con1
user=domain\user1:password
connection
displayName=con2
server=servername,NLA
user=domain\user2:password
next screen
Имя пользователя и пароли прописаны.
Так вот, когда попытаться переключиться на другую сессию у нас опять спрашивают пароль, хотя он был явно задан в параметрах подключения.
Это баг, фича или особенность?
Re: Задать параметр NLA в шаблоне
Добавлено: Чт дек 03, 2020 3:48 pm
aka
flameflower писал(а): ↑Чт дек 03, 2020 1:06 pm
Доброго дня.
Читая параметры конфигурации наткнулся на то, что можно явно задать параметр NLA
Однако в шаблоне такой финт я не смог сделать.
Для этого надо было отдельный параметр заводить.
Опиши подробнее проблему, которую решаешь.
Re: Задать параметр NLA в шаблоне
Добавлено: Чт дек 03, 2020 3:49 pm
aka
flameflower писал(а): ↑Чт дек 03, 2020 1:47 pm
Это баг, фича или особенность?
Лог покажи.
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 7:57 am
flameflower
aka писал(а): ↑Чт дек 03, 2020 3:48 pm
flameflower писал(а): ↑Чт дек 03, 2020 1:06 pm
Доброго дня.
Читая параметры конфигурации наткнулся на то, что можно явно задать параметр NLA
Однако в шаблоне такой финт я не смог сделать.
Для этого надо было отдельный параметр заводить.
Опиши подробнее проблему, которую решаешь.
Иногда пользователей надо пустить на сервер с выключенным NLA для смены пароля.
В остальных случаях надо, что бы NLA был включён.
Поэтому хотелось бы, что бы в шаблоне можно было указать NLA, а для случаев смены пароля можно было бы переопределить параметр "server=" ну или отдельную опцию в конфигураторе, единоразово подключившись без.
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 8:22 am
flameflower
aka писал(а): ↑Чт дек 03, 2020 3:49 pm
flameflower писал(а): ↑Чт дек 03, 2020 1:47 pm
Это баг, фича или особенность?
Лог покажи.
Отправил на support at wtware.com
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 8:25 am
flameflower
aka писал(а): ↑Чт дек 03, 2020 3:48 pm
flameflower писал(а): ↑Чт дек 03, 2020 1:06 pm
Доброго дня.
Читая параметры конфигурации наткнулся на то, что можно явно задать параметр NLA
Однако в шаблоне такой финт я не смог сделать.
Для этого надо было отдельный параметр заводить.
Опиши подробнее проблему, которую решаешь.
Тут где-то мелькала аналогичная тема.
Когда клиентам задавали параметры подключения с NLA и без в виде отдельных rdp-файлов(профилей подключения).
В моем случае это актуально только для пользователей wtware, т.к. другие пользователи работают за полноценной рабочей станцией, являющейся членом домена.
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 11:22 am
aka
flameflower писал(а): ↑Пт дек 04, 2020 7:57 am
Иногда пользователей надо пустить на сервер с выключенным NLA для смены пароля.
В остальных случаях надо, что бы NLA был включён.
Это всё делается на сервере. Терминал для чего настаривать?
flameflower писал(а): ↑Пт дек 04, 2020 7:57 am
Тут где-то мелькала аналогичная тема.
В аналогичной теме проблема была описана подробно. Тебе тоже придется описать подробно.
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 11:55 am
flameflower
aka писал(а): ↑Пт дек 04, 2020 11:22 am
flameflower писал(а): ↑Пт дек 04, 2020 7:57 am
Иногда пользователей надо пустить на сервер с выключенным NLA для смены пароля.
В остальных случаях надо, что бы NLA был включён.
Это всё делается на сервере. Терминал для чего настаривать?
flameflower писал(а): ↑Пт дек 04, 2020 7:57 am
Тут где-то мелькала аналогичная тема.
В аналогичной теме проблема была описана подробно. Тебе тоже придется описать подробно.
На сервере снят флаг принимать подключения только с NLA. Т.е. можно подключаться как с ним так и без.
Необходимо, что бы аутентификация, по умолчанию, была с NLA.
Тем не менее, если у пароля истекает срок действия, то терминальному пользователю необходимо как-то его сменить.
В таких случаях подключаемся без NLA, меняем пароль, продолжаем работу.
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 12:24 pm
aka
flameflower писал(а): ↑Пт дек 04, 2020 8:22 am
Отправил на support at wtware.com
[режим телепатии включен]
Если ты хочешь на втором виртуальном экране (в который переключаешься по Win-Ctrl-N) получить сессию пользователя corp\wtware-test2, тогда вот этот блок:
Код: Выделить всё
connection
displayName=con2
server=apps.corp.bzsn.ru,NLA;
user=corp\wtware-test2:\x51\x77\x65\x72\x74\x79\x31\x32\x33
надо писать после строки
[/режим телепатии выключен]
Второй пункт инструкции про логи обычно решает большую часть проблем с втварью:
https://wtware.ru/logs.html
2. Уберите из конфигурационного файла терминала все строки. Совсем все. Подумайте, что необходимо указать в конфигурационном файле, чтобы воспроизвести проблему. Например, если проблема со сканером штрихкодов, укажите только server= и serial= параметры. Вы сможете вернуть все назад, когда мы разберемся с текущей проблемой.
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 12:26 pm
aka
flameflower писал(а): ↑Пт дек 04, 2020 11:55 am
Необходимо, что бы аутентификация, по умолчанию, была с NLA.
Необходимо для чего?
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 12:31 pm
flameflower
aka писал(а): ↑Пт дек 04, 2020 12:24 pm
flameflower писал(а): ↑Пт дек 04, 2020 8:22 am
Отправил на support at wtware.com
[режим телепатии включен]
Если ты хочешь на втором виртуальном экране (в который переключаешься по Win-Ctrl-N) получить сессию пользователя corp\wtware-test2, тогда вот этот блок:
Код: Выделить всё
connection
displayName=con2
server=apps.corp.bzsn.ru,NLA;
user=corp\wtware-test2:\x51\x77\x65\x72\x74\x79\x31\x32\x33
надо писать после строки
[/режим телепатии выключен]
Второй пункт инструкции про логи обычно решает большую часть проблем с втварью:
https://wtware.ru/logs.html
2. Уберите из конфигурационного файла терминала все строки. Совсем все. Подумайте, что необходимо указать в конфигурационном файле, чтобы воспроизвести проблему. Например, если проблема со сканером штрихкодов, укажите только server= и serial= параметры. Вы сможете вернуть все назад, когда мы разберемся с текущей проблемой.
Второй пункт инструкции про логи в данном случае не применим.
За информацию относительно переноса блока после
next screen спасибо. Получил именно то, что хотелось.
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 12:33 pm
flameflower
aka писал(а): ↑Пт дек 04, 2020 12:26 pm
flameflower писал(а): ↑Пт дек 04, 2020 11:55 am
Необходимо, что бы аутентификация, по умолчанию, была с NLA.
Необходимо для чего?
Для соблюдения партийной политики же.
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 12:42 pm
aka
flameflower писал(а): ↑Пт дек 04, 2020 12:31 pm
Второй пункт инструкции про логи в данном случае не применим.
Если убрать одну строчку "server=" из all.wtc, ты бы получил на втором экране ошибку идальше сам бы до всего догадался.
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 12:49 pm
flameflower
aka писал(а): ↑Пт дек 04, 2020 12:42 pm
flameflower писал(а): ↑Пт дек 04, 2020 12:31 pm
Второй пункт инструкции про логи в данном случае не применим.
Если убрать одну строчку "server=" из all.wtc, ты бы получил на втором экране ошибку идальше сам бы до всего догадался.
Ну, блин, это же шаблон с которого другие терминалы загружаются.
Разве что сделать его копию и уже что-то делать. Тем не менее навык телепатии у вас развит неплохо и вы совершенно верно указали на мою ошибку последовательности написания текстового конфига.
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 12:55 pm
aka
flameflower писал(а): ↑Пт дек 04, 2020 12:33 pm
Для соблюдения партийной политики же.
Партийная политика требует необязательный NLA на сервере и обязательный NLA на клиенте?
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 1:14 pm
flameflower
aka писал(а): ↑Пт дек 04, 2020 12:55 pm
flameflower писал(а): ↑Пт дек 04, 2020 12:33 pm
Для соблюдения партийной политики же.
Партийная политика требует необязательный NLA на сервере и обязательный NLA на клиенте?
Обязательный NLA на клиенте, с оговоркой на смену пароля.
Глупость, но, увы.
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 3:07 pm
aka
Не хочу вносить изменения в конфиг для глупости. Без шаблонов сейчас работает.
Чёт тема со сменой пароля активировалась. Надо её как-то правильно решить.
Две идеи есть. Первая:
...выделить отдельный сервер БЕЗ роли Remote Desktop Session Host предназначенный только для смены паролей и только на нем отключить NLA.
На этом сервере пользователей НЕ НУЖНО включать в группу Remote Desktop Users так как проверка и смена пароля выполняются до входа в систему. В этом случае пользователь при подключении по RDP сможет поменяет пароль, но не сможет зайти на сервер.
И вторая - через веб-браузер. Писали, что даже втваревым Хромом можно зайти на rdweb и там поменять. Хром зело тяжелый, его неинтересно тащить только для пароля, а разбираться, как поменять пароль из командной строки через curl всем лень
Re: Задать параметр NLA в шаблоне
Добавлено: Пт дек 04, 2020 7:06 pm
flameflower
aka писал(а): ↑Пт дек 04, 2020 3:07 pm
Не хочу вносить изменения в конфиг для глупости. Без шаблонов сейчас работает.
Чёт тема со сменой пароля активировалась. Надо её как-то правильно решить.
Две идеи есть. Первая:
...выделить отдельный сервер БЕЗ роли Remote Desktop Session Host предназначенный только для смены паролей и только на нем отключить NLA.
На этом сервере пользователей НЕ НУЖНО включать в группу Remote Desktop Users так как проверка и смена пароля выполняются до входа в систему. В этом случае пользователь при подключении по RDP сможет поменяет пароль, но не сможет зайти на сервер.
И вторая - через веб-браузер. Писали, что даже втваревым Хромом можно зайти на rdweb и там поменять. Хром зело тяжелый, его неинтересно тащить только для пароля, а разбираться, как поменять пароль из командной строки через curl всем лень
У меня сейчас примерно так и сделано. NLA везде, кроме одного сервера, но туда можно логиниться и работать.
Единственное, что wtware клиентам приходится явно дописывать параметр NLA руками. Меня устроит опция force nla в конфиге, нежели руками её дописывать.
Re: Задать параметр NLA в шаблоне
Добавлено: Вт авг 17, 2021 7:50 am
flameflower
Благодарю, что добавили такую возможность!