Browser Access Portal Troubleshooting

 

Обзор

Порталы приложения (также известны как Доступ через браузер) позволяют пользователям получать доступ к внутренним корпоративным ресурсам путем установки защищенного туннеля через Интернет. Этот сервис не требует подключения SDP, но требует, чтобы пользователи были лицензированными пользователями SDP. Этот плейбук обсуждает общие проблемы доступа через браузер и предоставляет шаги по устранению неполадок для их решения.

Симптомы

  • Пользователь, получающий доступ к Порталу приложений, получает страницу "Доступ запрещен"

  • Приложение не отображается в портале доступа через браузер
  • Приложение не удается загрузить.

  • В веб-приложении отсутствует содержимое

  • Неправильный формат содержимого в веб-приложениях. Например, элементы расположены случайным образом на странице, текст имеет неверный размер шрифта, изображения не правильно выровнены и т.д.

  • Приложения проводят тайм-аут для доступа через браузер без клиента; пользователи SDP клиента действуют нормально.

Возможные причины

  • Неправильные конфигурации
  • Использование протокола HTTP, и веб-приложение содержит абсолютные ссылки HTTP на другие содержимое

Устранение проблемы

В этом разделе будут рассмотрены шаги по устранению распространенных проблем портала приложений.  

Пользователи не могут получить доступ к порталу приложений

Когда пользователь получает доступ к порталу приложений, используя URL портала, указанный в Доступ > Портал приложений > Настройки, он сталкивается с сообщением об отказе в доступе.

  1. Проверьте, что поддомен не содержит специальных символов. Символы, такие как дефисы, не поддерживаются. Обратитесь к "Изменение поддомена для исключения специальных символов" для инструкций по проверке использования спецсимволов в Поддомене.
  2. Проверьте, что пользователь является (лицензированным пользователем SDP. Только пользователи, которым назначена лицензия, могут получить доступ к порталу доступа через браузер. Обратитесь к Назначение лицензии пользователям для получения инструкций по проверке этого.  
  3. Если аутентификация SSO включена и "Разрешить вход с использованием Единого входа" выбрано (Доступ > Единый вход), убедитесь, что домен пользователя включен в разрешенные домены.
     
  4. Проверьте в событиях на наличие явных ошибок. Перейдите в Домашняя > События и добавьте фильтр, как показано ниже. 

    Все события, связанные с порталом доступа через браузер, будут показаны. Ниже приведен пример события "Доступ запрещен".  

Приложения не отображались на домашней странице приложений

Когда пользователь входит в портал доступа через браузер, некоторые приложения не отображаются.

  1. Проверьте, что приложение добавлено в Доступ > Портал приложений > Приложения. Если не добавлено туда, это не отразится на домашней странице портала приложений.
  2. Убедитесь, что пользователь имеет доступ к приложению. Если нет, он не сможет увидеть его на домашней странице приложения. Это можно сделать в Доступ > Портал приложений > Политика доступа.
  3. Для инструкций по разрешению этих проблем, обратитесь к Добавление приложения в портал доступа через браузер и Настройка политики доступа для разрешенных пользователей.

Приложение не удается загрузить

При нажатии на значок приложения, браузер может не показывать контент, и приложение продолжает загружаться до истечения времени ожидания.

Если вышеуказанное происходит, соберите следующие данные:

  1. Соберите захват PCAP из сокета на сайте, где размещён сервер приложения, как описано в Как захватывать трафик на сокете. Отфильтруйте IP-адрес веб-сервера и порт 80 или 443, в зависимости от порта, настроенного для приложения в CMA.
  2. Подтвердите, есть ли поток TCP от веб-сервера. Если нет, проверьте локальную подключаемость к серверу. Без NAT трафик, достигающий вашего внутреннего сервера, будет исходить из публичного IP-адреса.
  3. Проверьте, необходимо ли использование Диапазон IP-адресов для NAT для корректной маршрутизации в/из внутренней сети. Без диапазона IP-адресов для NAT трафик, достигающий внутреннего сервера, будет исходить из публичного IP-адреса.
  4. Если трафик TCP виден на шаге #2, соберите файл HAR через Портал Доступ через браузер, выполняя следующие шаги:
    1. Из Портала Доступ через браузер щелкните правой кнопкой мыши в любом месте на странице и выберите "Инспектировать" в контекстном меню.
    2. Нажмите на кнопку Настройки, расположенную в правом верхнем углу. Эта опция доступно в Chrome. Если вы используете другой браузер, переходите к шагу #4.
    3. В Настройки > Глобальный выберите 'Автоматически открывать DevTools для всплывающих окон'.
    4. Щелкните на Приложение из Портала Доступ через браузер. Откроется вторая вкладка. Здесь должна происходить запись. Если ваш браузер автоматически не записывает с этой второй вкладки (шаг #3), вам нужно будет выполнить это действие вручную на следующем шаге.
    5. Следуйте инструкциям из Как собрать данные HAR, чтобы воспроизвести проблему и собрать файл HAR.
    6. Отправьте эту информацию в Поддержка Cato для дальнейшего расследования. См. Передача случаев в Поддержка Cato
  5. Если файл HAR показывает перенаправление на внутренний домен, Внешний Браузер не сможет его разрешить, так как не выполняет резолюцию DNS с внутренней сетью. Это в настоящее время ограничение решений Доступ через браузер, и пользователь должен подключиться к Cato через Клиент SDP.

Отправьте эту информацию в Поддержка Cato для дальнейшего расследования. См. Передача случаев в Поддержка Cato.

Веб-приложение демонстрирует проблемы с форматированием

Форматирование веб-приложения является проблемным, элементы размещены на странице беспорядочно, текст отображает несогласованные размеры шрифта, а изображения отображаются не по центру. Эта проблема может возникнуть, когда клиент получает доступ к веб-приложению через Портал Доступ через браузер, используя протокол HTTP, а HTML-код веб-приложения включает абсолютные ссылки HTTP к другим содержимым. Поскольку соединение Доступ через браузер действует на HTTPS, современные веб-браузеры ограничат доступ к содержимому HTTP, которое обычно называется как "смешанное содержимое."

Следуйте этим шагам, чтобы проверить, сталкиваетесь ли вы с этой проблемой.

  1. Вы можете собрать файл HAR через Портал Доступ через браузер во время доступа к приложению. Для подробных инструкций обращайтесь к Как собрать данные HAR.
  2. Если это проблема, инструменты разработки сайта отобразят блоки смешанных содержимостей, сопровождаемые предупреждением, указывающим, что соединение с веб-сайтом небезопасно.
  3. Щелкните правой кнопкой мыши в любом месте на странице и выберите "Просмотр исходного кода страницы." Это откроет исходный код веб-сайта.
  4. Проверьте наличие любых ссылок, начинающихся с "http://", как показано ниже:
    <link href="http://nms-ubuntuserver.via.catonetworks.com/css/bootstrap.min.css" rel="stylesheet" type="text/css" />
  5. Присутствие ссылок HTTP в исходном коде является причиной, по которой браузер блокирует содержимое.

  6. Следуйте рекомендациям, изложенным в Проблемы форматирования, чтобы решить эту проблему.

Приложения проводят тайм-аут для доступа через браузер без клиента; пользователи SDP клиента или пользователи сайта могут получить доступ нормально.

Портал загружается, но приложения за ним не открываются. Пользователи на клиентском приложении SDP или пользователи за cato сокетами могут достигнуть всего нормально. Пользователи, проходящие через браузерный доступ без клиента, сталкиваются с тайм-аутами при попытке открыть любое приложение.

Примечание: Браузерный удаленный доступ не поддерживает пересекающиеся IP-адреса между диапазоном SNAT IP и диапазоном IP для сайта.

Например, доступ через браузер использует диапазон NAT, такой как 10.60.10.0/24. В то же время ваша сеть рекламирует более широкий маршрут, например, 10.0.0.0/8, в Cato. Поскольку 10.60.10.0/24 находится внутри блока 10.0.0.0/8, платформа видит возвращенный трафик как пересекающийся с собственной подсетью сайта. Когда трафик пытается вернуться к пользователю с доступом через браузер, платформа отклоняет его, чтобы избежать создания петли маршрутизации, так как более широкий маршрут /8 вернет пакет обратно к сайту вместо пользователя. Это пересечение предотвращает платформу от установки чистого маршрута возврата для трафика доступа через браузер.
 

Чтобы решить проблему, подтвердите маршруты SNAT и учетных записей.

  1. Определите диапазон IP SNAT, настроенный для доступа через браузер.

  2. Перейдите к таблице маршрутизации под вашей учетной записью > сеть. Проверьте все маршруты учетных записей и подтвердите, что ни один не пересекается с диапазоном SNAT. Отсутствие данных означает отсутствие пересечение в таблице маршрутизации. 

  3. Если пересечение существует:
    • Отрегулируйте конфигурацию маршрутизации, чтобы устранить конфликт.
    • Убедитесь, что маршруты, рекламируемые через BGP, не покрывают диапазон SNAT.

Решение обнаруженных проблем

Ошибочная конфигурация

Многие из упомянутых выше проблем связаны с конфигурацией. После того как вы определите области с ошибочной конфигурацией, их решение должно устранить проблему.

Изменение поддомена для исключения специальных символов

Перейдите в Доступ > Единый вход и убедитесь, что в поле Поддомен нет специальных символов. Это требование также упоминается в Configuring-the-Browser-Access-Portal. Для получения дополнительной информации о влиянии изменения поддомена обратитесь к Changing-your-Account-Name-and-Subdomain.

Назначение лицензий пользователям

Перейдите в Доступ > Пользователи > Справочник пользователей и убедитесь, что пользователь, который получает доступ к порталу доступа через браузер, является лицензированным пользователем SDP


Чтобы назначить лицензию пользователю, обратитесь к Assigning-SDP-Licenses-to-Users 

Добавление приложения в портал доступа через браузер

Перейдите в Портал приложений > Приложение и убедитесь, что приложение добавлено. Для деталей конфигурации обратитесь к Managing-Applications-for-the-Browser-Access-Portal.

Настройка политики доступа для разрешенных пользователей

Перейдите в Доступ > Портал приложений > Политика доступа и убедитесь, что пользователь может получить доступ к приложениям. Для получения информации о конфигурации обратитесь к Defining-the-Browser-Access-Policy

Проблемы форматирования

Решение включает в себя изменение исходного кода приложения, так как браузер отвечает за блокировку смешанного контента, а не Cato. Клиенту рекомендуется преобразовать абсолютные ссылки (те, которые начинаются с http://) в коде HTML в относительные ссылки. Относительные ссылки могут быть либо протокольными, либо корневыми.
Например, если у вас есть ссылка, напоминающая:

href="http://www.mywebsite.com/css/stylesheet.css"

Протокол-относительная ссылка будет выглядеть так:

href="//www.mywebsite.com/css/stylesheet.css"

Корневая относительная ссылка будет выглядеть примерно так:

href="/css/stylesheet.css"

Для получения дополнительной информации об абсолютных и относительных ссылках вы можете обратиться к absolute-vs-relative-urls

Создание обращений в Поддержку Cato

Отправьте тикет поддержки с результатами описанных выше шагов по устранению неполадок. Для проблем, связанных с доступом к приложениям портала через браузер, пожалуйста, также включайте ответы на следующие вопросы:

  1. Какой сервер приложения затронут? (IIS, Nginx, и т. д.)
  2. Требуется ли дополнительная аутентификация для приложения?
  3. Есть ли у пользователя доступ к журналам приложения или файлам конфигурации? Если да, то фиксируют ли эти журналы проблему?
  4. Из каких мест пользователи подключаются к порталу SDP?
  5. Могут ли пользователи подключаться к приложению, используя Клиент Cato или находясь за Сайт сокетом?
  6. Есть ли между ними балансировщик нагрузки/API сервер/брандмауэр? 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 2

0 комментариев