[mdk-re] Re: [mdk-re] Re: [mdk-re] Два вопроса

Чт Апр 5 10:08:12 MSD 2001

----- Original Message -----
From: Mikhail Zabaluev <mookid на sigent.ru>
To: <mandrake-russian на altlinux.ru>
Sent: Wednesday, April 04, 2001 12:38 PM
Subject: [mdk-re] Re: [mdk-re] Два вопроса


> Hello Волков,
>
> On Wed, Apr 04, 2001 at 10:21 +0400, Волков Сергей wrote:
> >
> > > По  этой  причине  единственный  выход  -  авторизовать  не  комп,   а
> > > пользователя.  Кстати, в win-сетях это можно сделать на уровне домена.
> > > Очевидный,  дедовский  способ  авторизации  - заставить ввести пароль.
> > > Дальше всё понятно.
> > >
> > это обходится нажатием простого ESC, однако согласен что по умолчанию
всем
> > пользователям присоить по DHCP можно принудительно левую сеть с
роутингом в
> > никуда
> >
> > > Простейший способ (на мой взгляд, для маленькой сети оптимальный) - не
> > > писать собственные проги, а просто прописать поднятие маскарадинга для
> > > IP,  зарегистрированного  на  пользователя,  в его входных скриптах. И
> > > отключение,  соответственно,  при  выходе. Естественно, надо запретить
> > > редактирование  этих скриптов пользователю. Надо в инет - зайди по ssh
> >
> > а как менять на ходу IP если пользователь вошел с другого IP address
> >
> > > или  telnet,  введи  пароль  -  и всё работает. Как только вышел - всё
> > > отрубилось.  Единственное  неудобство  -  болтающееся на десктопе окно
> > > телнета.  Но это не страшно, ИМХО. При таком способе любые манипуляции
> > > с  IP, MAC - адресами, даже точкой подключения к сети, ничего не дают.
> > > Если  пользователь изменит данную ему настройку, он просто не выйдет в
> > > инет  (ну,  изменил  ты IP на соседский, пароль-то свой остался... так
> > > что  при  входе поднимется не его, а твой IP). Надёжность этой системы
> > > ограничивается   только   надёжностью   криптозащиты  и  корректностью
> > > действий  пользователей  по  защите своих паролей от компрометации. Но
> > > тут  надо  просто  договориться,  что  каждый  будет  платить столько,
> > > сколько  отработано  от  его имени, и никаких разговоров на тему "я не
> > > работал, меня хакнули". Хакнули - значит хреново пароль бережёшь.
> > >
> > > Если  предусматривать дальнейшее расширение сети - можно действительно
> > > написать  CS-программку,  которая  будет  заниматься  всеми описанными
> > > делами на клиенте. Но при объёме в десяток - другой пользователей это,
> > > ИМХО, излишняя трата времени и сил.
> >
> > а еще эта задача похоже очень актуальна для домашних сетей, которых так
> > много сейчас??
> > кто знает как она сейчас решается???
>
> Насколько я знаю, в коммерческих сетях масштаба микрорайона (о где вы,
> где вы, эти микрорайоны) решаются сразу две проблемы - авторизация и
> исключение "нюхачей" - путем установки IPSec или подобных
> защищенных соединений между машиной клиента и провайдерской точкой
> доступа и accounting'а. Конечно, потребуется поддержка на стороне клиента,
> но в нашем любимом дистрибутиве этого добра в ядре хватает :)
>
> --
> Stay tuned,
>   MhZ
А глупая вида как с ней быть как к ней прикрутить такую штуку и если можно
по подробенне про структуру соединения ??