"Одноразовый" аккаунт.

Обсуждение технических вопросов по продуктам Novell

Сообщение Андрей Троценко » 03 мар 2004, 01:20

Григорьев Михаил писал(а):Коллеги про логин скрип забудте как средство контроля.

Конектится одноразовый юзер по FTP и какой тут логин-скрипт??? Нету его тама....

Или через Web на iManager заходит, то же самое нет там скрипта.

Или просто заходит через веб на запароленую апачавскую страничку где апачь пароль берёт из NDS, тоже нет там скрипта


А интересно: loginTime и lastLoginTime в ЭТИХ случаях работают ? Кто использует упомянутые средства (FTP,iManager,Apach+NDSAuth) - проверьте и отпишите результаты.
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Сообщение Владимир Горяев » 03 мар 2004, 12:04

Андрей Троценко писал(а):А интересно: loginTime и lastLoginTime в ЭТИХ случаях работают ? Кто использует упомянутые средства (FTP,iManager,Apach+NDSAuth) - проверьте и отпишите результаты.
NWFTPD.NLM 5.03l

FTPAUDIT.LOG
Info:4:3/3/2004 08:08:41 : 192.168.129.42 :: CN=user.OU=ftp.O=GU : Logged In
Info:6:3/3/2004 08:13:33 : 192.168.129.42 :: user.ftp : Logged out
Info:4:3/3/2004 08:50:01 : 192.168.148.131 :: CN=user.OU=ftp.O=GU : Logged In
Info:4:3/3/2004 08:58:32 : 192.168.129.48 :: CN=user.OU=ftp.O=GU : Logged In
Info:6:3/3/2004 09:30:46 : 192.168.148.131 :: user.ftp : Logged out
Info:6:3/3/2004 09:35:07 : 192.168.129.48 :: user.ftp : Logged out
FTPSTAT.LOG
3/3/2004 08:08:41 , USER ,192.168.129.42 ,1026 ,user.ftp ,i
3/3/2004 08:13:33 , USER ,192.168.129.42 ,1026 ,user.ftp ,o
3/3/2004 08:50:01 , USER ,192.168.148.131 ,1192 ,user.ftp ,i
3/3/2004 08:58:32 , USER ,192.168.129.48 ,1213 ,user.ftp ,i
3/3/2004 09:30:46 , USER ,192.168.148.131 ,1192 ,user.ftp ,o
3/3/2004 09:35:07 , USER ,192.168.129.48 ,1213 ,user.ftp ,o
dsbrowse
Last Login Time [ 3 Mar 2004 8:50:11 ]
Login Time [ 3 Mar 2004 8:59:32 ]
8:50:11-08:50:01=10
8:59:32-08:58:32=60
Такая вот математика. Или не из той оперы?
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Андрей Троценко » 03 мар 2004, 12:53

2 Владимир Горяев:
Очень даже из той ! Спасибо.
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Сообщение Андрей Тр. aka RH » 03 мар 2004, 13:26

Влад А.Сокол aka Akina писал(а):... да элементарно забыть можно... ну да, потом открутят все что выступает, но прокол уже был...
Как-то странно .. ежели люди всерьез озабочены тем, что их пароль перехватят при передаче по телефону, то .. В армии, как известно, нет слов "забыл, потерял" и т.п. ( есть друое, все их заменяющее ). Висит инструкция, какие кнопки нажимать - будь добер нажимать. Да и аккаунт задизейблить наверняка можно через bat-файл, там и думать-то не надо ( если с этим проблемы ).
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Аркадий Глазырин » 03 мар 2004, 14:02

Андрей Троценко писал(а):2 Владимир Горяев:
Очень даже из той ! Спасибо.


Можно пояснить как это сделано?
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Сообщение Андрей Троценко » 03 мар 2004, 14:57

2 Аркадий Глазырин:
IMHO их должен прописывать модуль DS при аутентификации пользователя (иначе - их достоверность сомнительна).

В eDir SDK for C есть функции уведомления о изменении свойств объектов [NDS Event Services] - их можно использовать для решения (это уже не поллинг). По документации - их работа заявлена для NetWare 4.x и выше (т.е., последние версии даже NDS 6 должны с ними работать). Теперь, основываясь на изменении значения Login Time можно выставлять Login Expiration Time для этого объекта на заданный интервал времени. Можно пофантазировать, как отсевать OneTimeLogin-пользователей от постоянных (напр. расширить схему классов на соотв. булев аттрибут).
Вообще, здесь нужно учесть, что Login Time может отличатся от реального (см. протоколы В. Горяева) [сервер с реплики которого вы читаете аттрибут может еще не успеть синхронизироваться с тем, к которому подключился пользователь], так что мат. точность времени соединения пользователя (если таковая нужна) не гарантирована.

К слову сказать, есть такая утилита NCL.NLM - в числе прочего, позволяет привязывать выполнение команд к событию входа пользователя в сеть (вернее, к соединению с конкретным сервером). Но выпущена она - в 92м, и, 5.1й сервер абендит от нее :(
Аватара пользователя
Андрей Троценко
 
Сообщения: 529
Зарегистрирован: 31 июл 2002, 13:54
Откуда: Киев, Украина

Сообщение Михаил Григорьев » 03 мар 2004, 16:49

Андрей Троценко писал(а):
Григорьев Михаил писал(а):Коллеги про логин скрип забудте как средство контроля.

Конектится одноразовый юзер по FTP и какой тут логин-скрипт??? Нету его тама....

Или через Web на iManager заходит, то же самое нет там скрипта.

Или просто заходит через веб на запароленую апачавскую страничку где апачь пароль берёт из NDS, тоже нет там скрипта


А интересно: loginTime и lastLoginTime в ЭТИХ случаях работают ? Кто использует упомянутые средства (FTP,iManager,Apach+NDSAuth) - проверьте и отпишите результаты.


По поводу loginTime он же если смотреть в NWAdmin на вкладке пользователя "Ограничения регистрации" -> "Последняя регистрация:"

Он показывает время последнего входа на сервер, и без разници как, FTP, iManager, или NetWare Remote Manager или через NVStat вы входили, он обновляется всё равно, это 100% только что попробовал.

Единственное когда этот атрибут не обновляется это Apach+NDSAuth :( Что очень странно
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Re: "Одноразовый" аккаунт.

Сообщение Vladimir Kozak » 03 мар 2004, 16:56

Влад А.Сокол aka Akina писал(а):Сразу извинюсь - не просите досконально объяснить зачем... сам пока до конца не понял. Однако задали мне вопрос, на который я не смог ответить.


А если поставить дату истечения заведомо просроченную и разрешить один grace login? Не то?
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Re: "Одноразовый" аккаунт.

Сообщение Сергей ака godless » 03 мар 2004, 17:43

Vladimir Kozak писал(а):А если поставить дату истечения заведомо просроченную и разрешить один grace login? Не то?


Очень вообще то похоже на решение ...
Надо будет только задать время автоматической смены пароля побольше ... Или пересылать его на какой то ящик внутри сети ...
"И да будет так ..." - как говаривал король Артур ...
Аватара пользователя
Сергей ака godless
 
Сообщения: 559
Зарегистрирован: 17 сен 2003, 15:38
Откуда: Moscow

Re: "Одноразовый" аккаунт.

Сообщение Михаил Григорьев » 03 мар 2004, 18:51

Vladimir Kozak писал(а):А если поставить дату истечения заведомо просроченную и разрешить один grace login? Не то?


А это мысль.... Я вот как сделал...

Изображение

Юзер вошел ровно 1 раз, потом его не пустили НО это лишь тогда когда он отказался пароль сменить, если он пароль сменил то его снова повторно пустили

Попробовал пока на WinXP+Client32

На iManagere и Apache не пробовал
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

А если верхнюю птичку снять?

Сообщение Boris Morozov » 04 мар 2004, 03:23

Не разрешить пользователю менять пароль.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Сообщение Антон Бурмистров » 04 мар 2004, 11:00

Может немного не в ту сторону, но если использовать что-то вроде NMAS. Там одного знания пароля недостаточно, нужен еще один ключ. Например eToken, который и выдавать в случае необходимости.
Антон Бурмистров
 
Сообщения: 140
Зарегистрирован: 21 окт 2002, 15:07
Откуда: С-Петербург

Re: А если верхнюю птичку снять?

Сообщение Vladimir Kozak » 04 мар 2004, 11:00

Boris Morozov писал(а):Не разрешить пользователю менять пароль.


Конечно :)
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Re: "Одноразовый" аккаунт.

Сообщение Vladimir Kozak » 04 мар 2004, 11:04

Сергей ака godless писал(а):
Vladimir Kozak писал(а):А если поставить дату истечения заведомо просроченную и разрешить один grace login? Не то?


Очень вообще то похоже на решение ...


Как мне кажется, этим решением все начальные поставленные условия выполняются.
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Сообщение Vladimir Kozak » 04 мар 2004, 11:07

Антон Бурмистров писал(а):Может немного не в ту сторону, но если использовать что-то вроде NMAS. Там одного знания пароля недостаточно, нужен еще один ключ. Например eToken, который и выдавать в случае необходимости.


Простите меня конечно, но зачем было то огород городить на две страницы крутых решений (вплоть до измениения схемы и написания модулей/скриптов :D ) если решение уже готово и оно есть в NDS?
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Пред.След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 56

cron