Платные хостинги     Раскрутка сайта     Другие сайты

Организация доступа к UNIX в DHCP сети

Применятеся у нас DHCP в сети. Но собираемся купить сервак с UNIX, там у нас будет крутиться су\еръёзная программа, с которой будет работать куча народу через терминалки. Так вовпрос такой: как сделать организацию доступа к ресурсам этого unix сервера, т.е.:   чтобы по имени пользователя домена, разрешался доступ в приципе с серверу, т.е. если это какой-нибудь обычный юзверь, то он просто его даже пингануть не мог, если ему положено работать с unix, то только нужные порты, если админ, что все.   при этом админ unix сервера, не является админом сети основной.   чем можно это контролировать   Добавлено одни делали так: у них правда статические ip был комп с winroute, там были созданы правила, какому ip адресу можно на какой адрес и порт. т.е. если ip юзверя, то до unix не достучаться если оператор, то может только определенному порту если админ, то фул   как это сделать, но только с DHCP ?

Задача интересная. Я вижу ее решение следующим образом: во-первых, коли уж речь зашла о доменных пользователях на Unix-хосте, вам надо их там как-то аутентифицировать и разделять по различным группам доступа, а во-вторых, необходимо динамически менять правила файрвола, открывающие те или иные порты в зависимости от IP-адреса человека, прошедшего аутентификацию.   Аутентифицировать доменных пользователей на Unix-хостах в наши дни не такая уж и большая проблема. Причем вариантов ее решения больше одного. Мне больше импонирует аутентификация через PAM_LDAP/NSS_LDAP с использованием Kerberos для аутентификации соединения к AD (все как у взрослых, раз пошла такая пьянка). Начинай рыть в эту сторону с сайта padl.com и с google, конечно. Если вас не устраивают открытые решения (или они просто не работают на вашем гипотетическом Unix'е), то есть и коммерческий продукт -- Vintela VAS, решающий эту задачу.   Затем вам будет необходима какая-то программа-"привратник", которая, собственно, и будет аутентифицировать пользователей и управлять настройками файрвола на Unix-хосте. Порт, на котором слушает "привратник", должен быть доступен всем, ведь заранее неизвестно откуда поступит запрос на аутентификацию. Как вы реализуете этого привратника -- не знаю. Возможно найдете что-нибудь готовое, возможно напишете его сами, хоть на том же перле. Естественно, я бы порекомендовал пристальнее присмотреться к Kerberos -- коли уж админ на Unix-хосте не является таковым в AD, то зачем ему иметь доступ к доменным паролям, верно?

ooptimum у нас SCO Unix 7.1.3 или 6 не помню какой там последний пользователей не надо авторизовывать unix-ом, авторизовываться они будут сами в unix-е надо сделать так, чтобы DHCP сервер, не пускал к unix любые запросы от обычных юзверей, разрешал доступ, но по определенным портам, т.е. весь трафик что порту 23 пускал, а остальные не пропускал, ну а админам full access надо так сделано сейчас у другового подразделения, через winroute и у них статические IP в локалке, Мы хотим попробывать на DHCP остаться

При чем тут DHCP? Извини, но у тебя каша в голове. DHCP не занимается тем, что ты от него хочешь, это ж не файрвол.   Цитата: пользователей не надо авторизовывать unix-ом, авторизовываться они будут сами в unix-е Ладно, а как ты представляешь себе разделение пользователей на админов и прочих? По какому признаку? Где?

в домене, распихать по группам и взависимости от группы соответствующий доступ.   я и имел ввиду, что будет шлюз какой-то, который и будет основываясь на принадлежности к группе, пропускать или нет

spike MS ISA должен справиться с поставленной задачей. Поставишь его между сервером UNIX и остальной сетью и включишь в домен.....В AD создашь группы типа UNIX, Admins.... Соответственно на ИСЕ - группе Admins доступ по одним протоколам (telnet, ssh), а группе UNIX по другим протоколам. На клиентские компы поставить клиента исашного и все будет работать....

Я тебе об этом и писал. Цитата: я и имел ввиду, что будет шлюз какой-то, который и будет основываясь на принадлежности к группе, пропускать или нет В предложенном мной варианте в качестве такого шлюза выступает сам Unix-хост. Не плодите сущности без необходимости.

а если без AD ?

По-любому тебе надо как-то аутентифицировать пользователей. Как ты это будешь делать -- дело твое, способов существует масса. Просто лучше, если пользователю надо будет помнить 1 пароль, а не десяток. Иначе начнется записывание их на бумажках и т.д.

ooptimum ну софт на unix пишем не мы, поэтому не нам решать он нам дается бесплатно, т.е. его разработало и сопровождает подразделение другое и им там лучше видно   вообщем кроме как ISA, ничем фареволить не получится ?

Цитата: вообщем кроме как ISA, ничем фареволить не получится ?   Смотря откуда ты собираешься брать учетные записи. ИСА хорошь тем, что относительно легко настраивается и берет учетные записи из AD. Если у тебя нет AD, то смысла в ИСЕ особого нет.

Послушай, SCO UnixWare поддерживает PAM и NSS с версии 7.1.4. Если разработчики данной программы не изобретали колесо и пользовались системными сервисами для аутентификации пользователей, то проблем быть не должно.   Цитата: вообщем кроме как ISA, ничем фареволить не получится ? Это уж как ты сумеешь все настроить. С ISA наверное будет проще всего, но нужен отдельный компьютер, лицензии и т.д.