Страница 2 из 3

СообщениеДобавлено: 03 мар 2004, 01:20
Андрей Троценко
Григорьев Михаил писал(а):Коллеги про логин скрип забудте как средство контроля.

Конектится одноразовый юзер по FTP и какой тут логин-скрипт??? Нету его тама....

Или через Web на iManager заходит, то же самое нет там скрипта.

Или просто заходит через веб на запароленую апачавскую страничку где апачь пароль берёт из NDS, тоже нет там скрипта


А интересно: loginTime и lastLoginTime в ЭТИХ случаях работают ? Кто использует упомянутые средства (FTP,iManager,Apach+NDSAuth) - проверьте и отпишите результаты.

СообщениеДобавлено: 03 мар 2004, 12:04
Владимир Горяев
Андрей Троценко писал(а):А интересно: loginTime и lastLoginTime в ЭТИХ случаях работают ? Кто использует упомянутые средства (FTP,iManager,Apach+NDSAuth) - проверьте и отпишите результаты.
NWFTPD.NLM 5.03l

FTPAUDIT.LOG
Info:4:3/3/2004 08:08:41 : 192.168.129.42 :: CN=user.OU=ftp.O=GU : Logged In
Info:6:3/3/2004 08:13:33 : 192.168.129.42 :: user.ftp : Logged out
Info:4:3/3/2004 08:50:01 : 192.168.148.131 :: CN=user.OU=ftp.O=GU : Logged In
Info:4:3/3/2004 08:58:32 : 192.168.129.48 :: CN=user.OU=ftp.O=GU : Logged In
Info:6:3/3/2004 09:30:46 : 192.168.148.131 :: user.ftp : Logged out
Info:6:3/3/2004 09:35:07 : 192.168.129.48 :: user.ftp : Logged out
FTPSTAT.LOG
3/3/2004 08:08:41 , USER ,192.168.129.42 ,1026 ,user.ftp ,i
3/3/2004 08:13:33 , USER ,192.168.129.42 ,1026 ,user.ftp ,o
3/3/2004 08:50:01 , USER ,192.168.148.131 ,1192 ,user.ftp ,i
3/3/2004 08:58:32 , USER ,192.168.129.48 ,1213 ,user.ftp ,i
3/3/2004 09:30:46 , USER ,192.168.148.131 ,1192 ,user.ftp ,o
3/3/2004 09:35:07 , USER ,192.168.129.48 ,1213 ,user.ftp ,o
dsbrowse
Last Login Time [ 3 Mar 2004 8:50:11 ]
Login Time [ 3 Mar 2004 8:59:32 ]
8:50:11-08:50:01=10
8:59:32-08:58:32=60
Такая вот математика. Или не из той оперы?

СообщениеДобавлено: 03 мар 2004, 12:53
Андрей Троценко
2 Владимир Горяев:
Очень даже из той ! Спасибо.

СообщениеДобавлено: 03 мар 2004, 13:26
Андрей Тр. aka RH
Влад А.Сокол aka Akina писал(а):... да элементарно забыть можно... ну да, потом открутят все что выступает, но прокол уже был...
Как-то странно .. ежели люди всерьез озабочены тем, что их пароль перехватят при передаче по телефону, то .. В армии, как известно, нет слов "забыл, потерял" и т.п. ( есть друое, все их заменяющее ). Висит инструкция, какие кнопки нажимать - будь добер нажимать. Да и аккаунт задизейблить наверняка можно через bat-файл, там и думать-то не надо ( если с этим проблемы ).

СообщениеДобавлено: 03 мар 2004, 14:02
Аркадий Глазырин
Андрей Троценко писал(а):2 Владимир Горяев:
Очень даже из той ! Спасибо.


Можно пояснить как это сделано?

СообщениеДобавлено: 03 мар 2004, 14:57
Андрей Троценко
2 Аркадий Глазырин:
IMHO их должен прописывать модуль DS при аутентификации пользователя (иначе - их достоверность сомнительна).

В eDir SDK for C есть функции уведомления о изменении свойств объектов [NDS Event Services] - их можно использовать для решения (это уже не поллинг). По документации - их работа заявлена для NetWare 4.x и выше (т.е., последние версии даже NDS 6 должны с ними работать). Теперь, основываясь на изменении значения Login Time можно выставлять Login Expiration Time для этого объекта на заданный интервал времени. Можно пофантазировать, как отсевать OneTimeLogin-пользователей от постоянных (напр. расширить схему классов на соотв. булев аттрибут).
Вообще, здесь нужно учесть, что Login Time может отличатся от реального (см. протоколы В. Горяева) [сервер с реплики которого вы читаете аттрибут может еще не успеть синхронизироваться с тем, к которому подключился пользователь], так что мат. точность времени соединения пользователя (если таковая нужна) не гарантирована.

К слову сказать, есть такая утилита NCL.NLM - в числе прочего, позволяет привязывать выполнение команд к событию входа пользователя в сеть (вернее, к соединению с конкретным сервером). Но выпущена она - в 92м, и, 5.1й сервер абендит от нее :(

СообщениеДобавлено: 03 мар 2004, 16:49
Михаил Григорьев
Андрей Троценко писал(а):
Григорьев Михаил писал(а):Коллеги про логин скрип забудте как средство контроля.

Конектится одноразовый юзер по FTP и какой тут логин-скрипт??? Нету его тама....

Или через Web на iManager заходит, то же самое нет там скрипта.

Или просто заходит через веб на запароленую апачавскую страничку где апачь пароль берёт из NDS, тоже нет там скрипта


А интересно: loginTime и lastLoginTime в ЭТИХ случаях работают ? Кто использует упомянутые средства (FTP,iManager,Apach+NDSAuth) - проверьте и отпишите результаты.


По поводу loginTime он же если смотреть в NWAdmin на вкладке пользователя "Ограничения регистрации" -> "Последняя регистрация:"

Он показывает время последнего входа на сервер, и без разници как, FTP, iManager, или NetWare Remote Manager или через NVStat вы входили, он обновляется всё равно, это 100% только что попробовал.

Единственное когда этот атрибут не обновляется это Apach+NDSAuth :( Что очень странно

Re: "Одноразовый" аккаунт.

СообщениеДобавлено: 03 мар 2004, 16:56
Vladimir Kozak
Влад А.Сокол aka Akina писал(а):Сразу извинюсь - не просите досконально объяснить зачем... сам пока до конца не понял. Однако задали мне вопрос, на который я не смог ответить.


А если поставить дату истечения заведомо просроченную и разрешить один grace login? Не то?

Re: "Одноразовый" аккаунт.

СообщениеДобавлено: 03 мар 2004, 17:43
Сергей ака godless
Vladimir Kozak писал(а):А если поставить дату истечения заведомо просроченную и разрешить один grace login? Не то?


Очень вообще то похоже на решение ...
Надо будет только задать время автоматической смены пароля побольше ... Или пересылать его на какой то ящик внутри сети ...

Re: "Одноразовый" аккаунт.

СообщениеДобавлено: 03 мар 2004, 18:51
Михаил Григорьев
Vladimir Kozak писал(а):А если поставить дату истечения заведомо просроченную и разрешить один grace login? Не то?


А это мысль.... Я вот как сделал...

Изображение

Юзер вошел ровно 1 раз, потом его не пустили НО это лишь тогда когда он отказался пароль сменить, если он пароль сменил то его снова повторно пустили

Попробовал пока на WinXP+Client32

На iManagere и Apache не пробовал

А если верхнюю птичку снять?

СообщениеДобавлено: 04 мар 2004, 03:23
Boris Morozov
Не разрешить пользователю менять пароль.

СообщениеДобавлено: 04 мар 2004, 11:00
Антон Бурмистров
Может немного не в ту сторону, но если использовать что-то вроде NMAS. Там одного знания пароля недостаточно, нужен еще один ключ. Например eToken, который и выдавать в случае необходимости.

Re: А если верхнюю птичку снять?

СообщениеДобавлено: 04 мар 2004, 11:00
Vladimir Kozak
Boris Morozov писал(а):Не разрешить пользователю менять пароль.


Конечно :)

Re: "Одноразовый" аккаунт.

СообщениеДобавлено: 04 мар 2004, 11:04
Vladimir Kozak
Сергей ака godless писал(а):
Vladimir Kozak писал(а):А если поставить дату истечения заведомо просроченную и разрешить один grace login? Не то?


Очень вообще то похоже на решение ...


Как мне кажется, этим решением все начальные поставленные условия выполняются.

СообщениеДобавлено: 04 мар 2004, 11:07
Vladimir Kozak
Антон Бурмистров писал(а):Может немного не в ту сторону, но если использовать что-то вроде NMAS. Там одного знания пароля недостаточно, нужен еще один ключ. Например eToken, который и выдавать в случае необходимости.


Простите меня конечно, но зачем было то огород городить на две страницы крутых решений (вплоть до измениения схемы и написания модулей/скриптов :D ) если решение уже готово и оно есть в NDS?