Beranda > Error > You do not have permission to access websense manager

You do not have permission to access websense manager

Sudah menjadi keharusan untuk mengetahui impact apa saja yang akan terjadi setelah melakukan perubahan, sehingga kita bisa melakukan persiapan terlebih dahulu sebelum melakukan perubahan tersebut untuk meminimalisasi masalah yang kemungkinan timbul. Nah gimana kalau masalah tersebut diluar skenario, walau sudah dipersiapkan sebelumnya, problem tetap saja terjadi, atasilah segera dan jadikanlah pelajaran untuk kemudian hari. Disini saya akan bagi pengalaman saya ketika melakukan perubahan pada Domain Controller yaitu melakukan pergantian Domain Controller lama dengan yang baru dengan menggunakan nama dan IP address yang berbeda. Ada salah satu applikasi yang tidak langsung berjalan normal setelah disesuaikan konfigurasinya dengan perubahan yang dilakukan yaitu “Websense Manager” yang mana sebagian dari Super Administrator untuk login pada applikasi ini menggunakan user active directory. Sehingga ketika user login pada Websense Manager ini tampil error seperti di bawah ini:

“You do not have permission to access websense manager”

Padahal user yang login tersebut sudah didaftarkan. ehmm..gimana cara mengatasinya?

Di bawah ini langkah-langkah yang saya lakukan:

1.  Cek user yang sudah diberikan akses untuk login sebagai Super Administrator,  Login dengan menggunakan local administartor dari Websense yaitu “WebsenseAdministartor”, Network –> Administration –> Super Administrator –> Edit Managed Administrator

Contoh tampilan user : LDAP://ipaddress_dc CN=Users,DC=contoh,DC=com/Domain Admins

Jika user yang login member dari Doamin Admins, seharusnya sudah bisa login. Namun jika masih bermasalah lanjut ke tahap 2

2. Cek Domain Controller yang didaftarkan pada bagian directory services, Server –> Setting –> Directory Services, pastikan type dari Active Directory sudah benar.

3. Cek setingan Domain Controller yang didaftarkan tadi berikut adminstrative accountnya (Jika port yang digunakan 3268, DC-nya harus sebagai Global Catalog)

4. Cek file dc_config.txt biasanya ada di C:\Program Files\Websense\bin, sudah adakah DC yang didaftarkan pada tahap 2 tadi? Isi dari dc_config.txt adalah seperti di bawah:

[WEST_DOMAIN]
dcWEST1=on
dcWEST2=on
[EAST_DOMAIN]
dcEAST1=on
dcEAST2=off

Setting “on” untuk DC yang digunakan, dan setting “off” untuk DC yang tidak digunakan. Setelah melakukan perubahan ini, restart DC agent service.

Untuk lengkapnya bisa dibaca disini –> http://www.websense.com/support/article/t-kbarticle/v7-DC-Agent-does-not-see-some-or-all-users-1258048446442

5. Cek file config.xml biasanya ada di C:\Program Files\Websense\bin, pastikan DC yang terdaftar tadi sudah tersimpan di config.xml ini.

Nah sampai tahap ke-5 ini, sudah sesuai, tapi masih tetap user Active Directory tidak bisa login.

Selanjutnya coba tanya pada ahlinya:), kebetulan Websense menyediakan fasilitas forum, disini thread yang saya buat http://community.websense.com/forums/p/8184/20175.aspx#20175

Langkah yang saya lakukan dan berhasil menyelesaikan masalah ini adalah.

Enable DSTrace untuk sementara, dengan tujuan untuk mengetahui informasi dari Websense User Service, sehingga kita akan mendapatkan gambaran kenapa user tidak bisa login. Caranya seperti dibawah:

1. Stop Websense Services dengan urutan seperti dibawah (Jika tidak urut kadang timbul error ketika stop service):

  • User Service
  • Filtering Service
  • Policy Server

2. Tambahkan 3 baris seperti dibawah pada file websense.ini (Biasanya ada di C:\Program Files\Websense\bin):
[DirectoryService]
BindLog=true
GroupLog=true
CacheLog=true

3. Save dan close ini file tersebut

4. Restart semua Websense services dengan susunan seperti dibawah:

  • Policy Server
  • Filtering Service
  • User Service

5. Coba tambahkan Directory Objects dan kemudian coba login pada Websense Manager, lihat hasilnya pada file dstrace.txt file biasanya terdapat pada C:\Program Files\Websense\bin.

Setelah selesai melakukan test dan mendapatkan hasil yang diharapkan, disable lagi  DSTrace dengan langkah seperti dibawah:

1. Stop Websense Services dengan urutan seperti dibawah:

  • User Service
  • Filtering Service
  • Policy Server

2. Buka kembali file Websense.ini, kemudian hapus atau comment out baris-baris yang baru dimasukan tadi. Selanjutnya save.

3. Restart semua Websense services dengan urutan sepeti di bawah:

  • Policy Server
  • Filtering Service
  • User Service

Source: http://www.websense.com/support/article/kbarticle/How-do-I-enable-DSTrace-for-UserService

Dengan melihat dari hasilnya, permasalahnya adalah Websense membaca user pada Domain controller yang tidak terdaftar pada Network –> Administration –> Super Administrator –> Edit Managed Administrator.

Jelasnya begini, ketika saya tambahkan user pada Edit Managed Administrator, Websense secara otomatis menambahkan user dengan mengacu pada domain controller yang terdaftar pada Server –> Setting –> Directory Services, tapi Websense ini hanya mengacu pada salah satu DC tadi yaitu 10.1.1.7

LDAP://10.1.1.7 CN=Users,DC=contoh,DC=com/Domain Admins

padahal saya sudah daftarkan dua domain controller/ Global Catalog yaitu 10.1.1.6 dan 10.1.1.7, namun saat user yang merupakan member dari Domain Admins login, Websense mengacu pada DC 10.1.1.6

LDAP://10.1.1.6  CN=Users,DC=contoh,DC=com/Domain Admins

Sehingga user tersebut tidak dikenal oleh Websense, solusinya adalah dengan menghapus DC 10.1.1.6, jadi hanya ada salah satu DC yang terdaftar pada Directory Service (Server –> Setting –> Directory Services), atau jika ingin menggunakan DC 10.1.1.6, hapus DC 10.1.1.7 dari directory service kemudian ulangi menambah user pada Administration (Network –> Administration –> Super Administrator –> Edit Managed Administrator), sehingga tampilan user seprti di bawah:

LDAP://10.1.1.6  CN=Users,DC=contoh,DC=com/Domain Admins

Saya lakukan ini dengan mengacu referensi dari http://www.websense.com/support/article/kbarticle/Cannot-log-into-Manager-after-entering-new-Global-Catalog-server

Tapi masalahnya, jika kita menggunakan satu DC berarti tidak ada backup jika DC yang dipakai tidak bisa diakses, solusi yang dianjurkan dari referensi tadi dengan membuat DNS alias, tapi saya tidak melakukan itu, yang saya lakukan adalah dengan langkah dibawah ini:

1. Biarkan hanya satu DC yang terdapat pada Directory Services, misal 10.1.1.6

2. Tambahkan user pada Administartion

LDAP://10.1.1.6  CN=Users,DC=contoh,DC=com/Domain Admins

3. Tambahkan DC pada Directory Service, misal 10.1.1.7

4. Delete DC sebelumnya (10.1.1.6), sehingga pada Directory service tetap hanya ada satu DC 10.1.1.7

5. Tambahkan user yang sama pada Administartion, namun yang lama tadi jangan dihapus, sehingga sekarang terdapat satu user dengan dua DC yang berbeda:

LDAP://10.1.1.6  CN=Users,DC=contoh,DC=com/Domain Admins

LDAP://10.1.1.7  CN=Users,DC=contoh,DC=com/Domain Admins

7. Tambahkan kembali DC yang dihapus tadi (10.1.16), sehingga pada Directory Service terdapat dua DC, yaitu 10.1.1.6 dan 10.1.1.7

Kalau saja Websense memanggil LDAP dengan script seperti:

LDAP://CN=Domain Admins,CN=Users,DC=contoh,DC=com

mungkin problem tersebut tidak akan terjadi. Berapa pun IP address atau apa pun nama servernya yang penting nama domainnya sama, masalah tidak akan terjadi:).

Tapi tidak tahu untuk Websense versi terbaru, apakah masih sama seperti itu? Soalnya saat ini saya masih menggunakan Websense ver 6.3.

Semoga bermanfaat,

Nana Sutisna

About these ads
Kategori:Error
  1. Oktober 18, 2013 pukul 7:44 am

    At this moment I am ready to do my breakfast, once having my breakfast coming again to reaqd
    additional news.

  1. No trackbacks yet.

Berikan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Logout / Ubah )

Twitter picture

You are commenting using your Twitter account. Logout / Ubah )

Facebook photo

You are commenting using your Facebook account. Logout / Ubah )

Google+ photo

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

Ikuti

Get every new post delivered to your Inbox.

%d blogger menyukai ini: