From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Mikhail Zabaluev To: mandrake-russian@altlinux.ru Message-ID: <20010404123843.E1588@localhost.localdomain> Mail-Followup-To: Mikhail Zabaluev , mandrake-russian@altlinux.ru References: <1991658562.20010404091352@chat.ru><01a001c0bcc6$628984e0$3809640a@mentepspb.msk.ru> <1024346968.20010404095841@chat.ru> <01c401c0bccf$787416e0$3809640a@mentepspb.msk.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit User-Agent: Mutt/1.2.5i In-Reply-To: <01c401c0bccf$787416e0$3809640a@mentepspb.msk.ru>; from vserge@menatepspb.msk.ru on Wed, Apr 04, 2001 at 10:21:22AM +0400 Subject: [mdk-re] Re: =?koi8-r?B?W21kay1yZV0g5NfBINfP0NLP08E=?= Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Mandrake/RE discussion list List-Unsubscribe: , List-Archive: Date: Thu Apr 5 02:00:12 2001 X-Original-Date: Wed, 4 Apr 2001 12:38:43 +0400 Archived-At: List-Archive: List-Post: Hello Волков, On Wed, Apr 04, 2001 at 10:21 +0400, Волков Сергей wrote: > > > По этой причине единственный выход - авторизовать не комп, а > > пользователя. Кстати, в win-сетях это можно сделать на уровне домена. > > Очевидный, дедовский способ авторизации - заставить ввести пароль. > > Дальше всё понятно. > > > это обходится нажатием простого ESC, однако согласен что по умолчанию всем > пользователям присоить по DHCP можно принудительно левую сеть с роутингом в > никуда > > > Простейший способ (на мой взгляд, для маленькой сети оптимальный) - не > > писать собственные проги, а просто прописать поднятие маскарадинга для > > IP, зарегистрированного на пользователя, в его входных скриптах. И > > отключение, соответственно, при выходе. Естественно, надо запретить > > редактирование этих скриптов пользователю. Надо в инет - зайди по ssh > > а как менять на ходу IP если пользователь вошел с другого IP address > > > или telnet, введи пароль - и всё работает. Как только вышел - всё > > отрубилось. Единственное неудобство - болтающееся на десктопе окно > > телнета. Но это не страшно, ИМХО. При таком способе любые манипуляции > > с IP, MAC - адресами, даже точкой подключения к сети, ничего не дают. > > Если пользователь изменит данную ему настройку, он просто не выйдет в > > инет (ну, изменил ты IP на соседский, пароль-то свой остался... так > > что при входе поднимется не его, а твой IP). Надёжность этой системы > > ограничивается только надёжностью криптозащиты и корректностью > > действий пользователей по защите своих паролей от компрометации. Но > > тут надо просто договориться, что каждый будет платить столько, > > сколько отработано от его имени, и никаких разговоров на тему "я не > > работал, меня хакнули". Хакнули - значит хреново пароль бережёшь. > > > > Если предусматривать дальнейшее расширение сети - можно действительно > > написать CS-программку, которая будет заниматься всеми описанными > > делами на клиенте. Но при объёме в десяток - другой пользователей это, > > ИМХО, излишняя трата времени и сил. > > а еще эта задача похоже очень актуальна для домашних сетей, которых так > много сейчас?? > кто знает как она сейчас решается??? Насколько я знаю, в коммерческих сетях масштаба микрорайона (о где вы, где вы, эти микрорайоны) решаются сразу две проблемы - авторизация и исключение "нюхачей" - путем установки IPSec или подобных защищенных соединений между машиной клиента и провайдерской точкой доступа и accounting'а. Конечно, потребуется поддержка на стороне клиента, но в нашем любимом дистрибутиве этого добра в ядре хватает :) -- Stay tuned, MhZ ___________ Moderation is a fatal thing. Nothing succeeds like excess. -- Oscar Wilde