From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 3 Sep 2003 15:51:08 +0300 From: Alexander Bokovoy To: community@altlinux.ru X-Comment-To: Alexey Starinsky Subject: Re: Re[2]: [Comm] Re: =?koi8-r?B?zMnNydTZ?= =?koi8-r?B?IM7BINvJ0snO1SDLwc7BzME=?= Message-ID: <20030903125108.GA13102@sam-solutions.net> References: <200309030840.23098.dikov@imbg.org.ua> <20030903094053.GO25190@osdn.org.ua> <762029360.20030903134120@tavrida.com> <200309031414.55302.iscander@mercuri.mk.ua> <1327647350.20030903152127@tavrida.com> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <1327647350.20030903152127@tavrida.com> X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.2 Precedence: list Reply-To: community@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 03 Sep 2003 12:46:32 -0000 Archived-At: List-Archive: List-Post: On Wed, Sep 03, 2003 at 03:21:27PM +0300, Alexey Starinsky wrote: > >> Ладно, видимо, это одельный разговор и только за деньги, если на > >> вопрос о возможном решении рассказывается в _самых_общих_чертах_ > ARO> Да нет конечно, просто люди пытались понять твою задачу поэтому и уточняют > ARO> задают наводящие вопросы, спросил б с чётко сформулированым ТЗ получил бы > ARO> более конкретные ответы ;-) > > Наверное, естественно было бы начать с доменной системы > аутентификации, дабы виндовые юзвери тоже могли бы поработать. > Хотя, зачем нужна именно доменная система, честно говоря, не знаю. > > Например, на работе под мастдаевой системой у нас так: > > 1)) Есть домен. Каждый юзер может: > 1a) залогиниваться на любой машине > 1б) читать свою почту > 1в) получить доступ в инет > > 2)) > 2a) Траффик насчитывается на его логин (а не IP), > 2б) соответственно, по логину же выдаются и лимиты на канал > > (не считая, есс-но общих приоритетов одного контента над другим: > например юзера с общими правами имеют приоритет по ширине канала на > выкачавание *.html в 4 раза выше, чем, скажем, на *.mp3) > > Понимаю, что п.1а - делается отдельно при помощи LDAP (не знаю, > поддерживается ли LDAP в виндах, не узнавал) > 1б - при помощи nfs (ящики на сервере) > 1с и 2a - при помощи squid > > Как сделать 1а+1б+1с и одновременно сделать 2б - неясно. > Ещё неплохо, чтобы юзеру при смене его пароля не нужно было бегать > админу и менять его в пяти местах :) В принципе, все отлично делается на samba3+winbind+squid. Если PDC на Samba, то достаточно добавить скрипт для входа в домен, который будет запоминать IP-адрес машины, с которой вошли, и перестраивать правила iptables так, чтобы запросы с этой машины будут ассоциироваться с нужным пользователем, соответственно, статистика в базу данных будет падать под его именем. Проблема только с регистрацией выхода из домена (это событие не фиксируется на PDC). Но и ее можно обойти, ведя список активных соответствий IP-username и производя выход при обнаружении попытки входа под этим же именем с другого IP либо при входе с этого же IP под другим именем. -- / Alexander Bokovoy --- You are number 6! Who is number one?