|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Eugene Grosbein 2:5006/1 09 Feb 2008 23:39:27
To : Andrey Voitenkov
Subject : Re: ip <-> windows user
--------------------------------------------------------------------------------
09 фев 2008, суббота, в 17:27 KRAT, Andrey Voitenkov написал(а):
AV> Hа стенде испытывал такой вариант:
AV> 1) пишем для винды скрипт/программку, которая при запуске полезет
AV> на указанный IP:порт и скажет туда имя юзера, ее запустившего.
AV> 2) используя group policy заставляем каждого юзера запустить
AV> ее автоматически при логоне/логофе.
Hе вижу, что помешает юзеру сразу после logon запустить уведомление
о своём logoff и logon Васи Пупкина. Такая софтинка должна запускаться
с системными привилегиями и серверная часть должна иметь возможность
проверить привилегии. Либо традиционным для unix методом - по TCP-порту,
если в windows есть понятие привелигированных портов (<1024), которые
юзерам нельзя занимать, либо гораздо проще - когда софтина сообщает
только сам _факт_ logon/logoff, а точное имя пользователя для logon
FreeBSD узнаёт у сервиса типа ident отдельно. После logoff связи нету
вообще (если это допустимо в данной локалке, конечно).
Hу и раз в минуту, например, опрашивать активные машины для перепроверки.
AV> 3) на сервере ведем соответствие user<->IP на основании этих коннектов
AV> (дальше уже дело техники)
AV> Почему не приняли в продакшн:
AV> 1) отследить logout можно далеко не всегда (винды регулярно падают)
Это не страшно, можно приделать auto-logout.
AV> 2) на вин-серверах может быть одновременно несколько логинов, не понятно
AV> на какого юзера повесть пакет в этом случае (эту проблему vpn тоже не
AV> решает)
А точно для машины в домене это возможно? Вроде бы быстрого переключения
юзеров у такой машины не может быть.
AV> 3) logon недоменного пользователя никак не получится отследить
Hет ручек - нет варенья (связи), впрочем допустимость этой политики
зависит от конкретной локалки, у меня вполне допустимо (с точностью
до исключений для серверов).
AV> 4) низкий уровень безопасности
Это решается правильным подходом и дополнительными мерами
при необходимости :-)
AV> 5) программирование (а значит и поддержка решения в будущем)
Вот я и хочу опереться на AD лучше бы, как-то он же с ISA
взаимодействует?
AV> PPTP получается во всех смыслах удобнее: на клиентах требуется минимум
AV> действий, авторизация по доменному логину без повторного запроса пароля,
AV> шифрование, гибкость.
Hе нравится, не могу пока сказать чем именно.
Eugene
--
Что делать?! Мир стоит на воровстве!..
Воруют в Самарканде и в Хиве,
В Ширазе, в Тегеране и в Стамбуле
И даже - страшно вымолвить - в Москве!..
--- slrn/0.9.8.1 (FreeBSD)
* Origin: Svyaz Service JSC (2:5006/1@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
