Ограничение прав пользователей по месту подключения

Обсуждение технических вопросов по продуктам Novell

Ограничение прав пользователей по месту подключения

Сообщение Дмитрий Митрофанов » 21 июл 2004, 14:08

Тривиальная проблема:
ограничить права пользователей (много их) по месту подключения:

1. 10.0.1.0/16 полный доступ (к home каталогу)
2. 10.0.2.0/16 только чтение
3. 10.0.3.0/16 отказать в доступе.

и еще можно ли ограничить регистрацию пользователя по IP диапазону адресов, а не только по конкретному IP (больно много вписывать придется:(

ps.
при IPX можно было хотяб-бы адресом сети ограничить :)
Аватара пользователя
Дмитрий Митрофанов
 
Сообщения: 25
Зарегистрирован: 28 сен 2002, 02:28
Откуда: г.Пенза

Re: Ограничение прав пользователей по месту подключения

Сообщение Михаил Григорьев » 21 июл 2004, 15:38

Дмитрий Митрофанов писал(а):Тривиальная проблема:
ограничить права пользователей (много их) по месту подключения


Подключение к чему и по какому протоколу?

Я так подозреваю ограничить доступ к файл-серверу по TCP/IP с клиентских PC где стоят Client32.

Так да?

В случае FTP такие ограничения делаются легко.
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Re: Ограничение прав пользователей по месту подключения

Сообщение PavelKHTW » 21 июл 2004, 16:39

Дмитрий Митрофанов писал(а):Тривиальная проблема:
ограничить права пользователей (много их) по месту подключения:

1. 10.0.1.0/16 полный доступ (к home каталогу)
2. 10.0.2.0/16 только чтение
3. 10.0.3.0/16 отказать в доступе.

и еще можно ли ограничить регистрацию пользователя по IP диапазону адресов, а не только по конкретному IP (больно много вписывать придется:(

Туманно все как то :) - У вас что разграничение прав раздается на уровне рабочих станций, а не на уровне пользователей? А смысл?
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Сообщение Дмитрий Митрофанов » 21 июл 2004, 20:53

Проблема в том что:

Студент:
1. в учебных аудиториях должен получить полный доступ к %home
2. в интернет кафе - только по чтению %home что-бы смогли распечатать свои доклады но всяку лажу в сеть не таскали (забодали игрухи писать:(
3. в аудиториях тестирования вообще никакого доступа к %home
Аватара пользователя
Дмитрий Митрофанов
 
Сообщения: 25
Зарегистрирован: 28 сен 2002, 02:28
Откуда: г.Пенза

Сообщение Андрей Тр. aka RH » 22 июл 2004, 04:18

И действительно, ограничение прав для одного и того же пользователя на основе его рабочей станции как-то противоречит всем .. устоям. :) В вашем случае я бы посмотрел в сторону использования логин скрипта, с конструкцией типа :
Код: Выделить всё
IF "%2"="LAB1" THEN
  чего выполнять в Лаб1
END
где задействовать переменную новелловского клиента ( и таким образом идентифицировать аудитории ). В одной мапить %home, в другой не мапить .. с правами несколько сложнее, но ИМХО оттуда же можно RIGHTS выполнять, с подстановкой соотв. директории ( тогда мапить всегда, просто RIGHTS при каждом логине запускать с разным набором прав ).

Выглядит несколько коряво, но я не думаю, что получится права менять ( для различных пользователей ) на основе адресов раб. станций ( объектов раб. станций в деревер - еще куда ни шло, но это не тот случАй ).
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение vsb » 22 июл 2004, 11:36

Андрей Тр. aka RH писал(а):просто RIGHTS при каждом логине запускать с разным набором прав

Выглядит несколько коряво, но я не думаю, что получится права менять ( для различных пользователей ) на основе адресов раб. станций ( объектов раб. станций в деревер - еще куда ни шло, но это не тот случАй ).

В общем 1 раз ты rights может быть и выполнишь. А далее у тебя не будет прав вернуть права на каталог (если конечно не админ :)).
Я бы предложил, на тестирование делать отдельные логины с пустыми домашними каталогами, и перед приходом на тестирование машины загружаются под этими логинами (тестирующимся пароли не выдаются).
Для доступа из инет кафе сделай доступ по фтп и не давай просто логинится с этого диапазона адресов.
WBR, Sergey
vsb
 
Сообщения: 13
Зарегистрирован: 17 июн 2004, 13:15
Откуда: Брест, Беларусь

Сообщение Андрей Тр. aka RH » 22 июл 2004, 13:51

vsb писал(а):В общем 1 раз ты rights может быть и выполнишь. А далее у тебя не будет прав вернуть права на каталог (если конечно не админ :)).
Спорное утверждение .. то, что я не могу писать в данный каталог ( или читать ), еще не значит, что я не могу поменять на него права. Другое дело, что мне в явном виде должны быть недоступны механизмы смены этих самых прав.

С тестированием, кстати, в одной организации мы делали подкаталоги в домашних у студней, которые преподы одним батником могли включать, другим выключать ( запуская набор rights ). В результате на время тестирования становился виден лишь только этот самый подкаталог ( который они ни удалить, ни переименовать не могли ).
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Дмитрий Митрофанов » 22 июл 2004, 21:28

что-же вы студентов необразованными личностями считаете :)
тут блин запретил повторную регистрацию на станции после входа, чтобы нелбза было через машину друг у друга отчеты по лабам переписывать, так они вытащили login32.exe :(

стоит естественно клиент32 под 9x и XP.
так в свойствах клиента (папках, сетевом окружении) оно все можно добавить и и логин-скрипт не панацея...
опять-же кафедральные машины ... яж не могу у каждой стоять и бить по рукам - типа не перестраивать настройки клиента (если выключить возможность его настройки) ... аапраропапр

именно нужно чтобы с одного место RW а с другого RO :)

лажа одно слово ...

ps.
ладно, будем искать ...
Аватара пользователя
Дмитрий Митрофанов
 
Сообщения: 25
Зарегистрирован: 28 сен 2002, 02:28
Откуда: г.Пенза

Сообщение Андрей Тр. aka RH » 23 июл 2004, 08:04

Дмитрий Митрофанов писал(а):стоит естественно клиент32 под 9x и XP.
так в свойствах клиента (папках, сетевом окружении) оно все можно добавить и и логин-скрипт не панацея...
опять-же кафедральные машины ... яж не могу у каждой стоять и бить по рукам - типа не перестраивать настройки клиента (если выключить возможность его настройки)
Такие вещи можно сделать через ЗЕН ( хотя если клиенты 9х, то дело почти безнадежное ). На ХР довольно неплохо можно ограничить через Group policy, при желании вроде бы можно через adm-файл менять настройки Клиента32. Далее - к разным машинам / пользователям применяются, соответственно, различные политики .. Разумеется, всякие сетевые окружения, меню File, контекстные меню ( местами ) и пр. позапрещать. С особо умными бороться только административными мерами. ИМХО нормальным путем назначить тем же самым пользовательским счетам RW с одних машин и R с других ( да еще на основе IP адресов ) не получится.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Сергей Дубовский » 23 июл 2004, 10:21

Господа, а не решит ли проблему с качанием из Интернета дисковая квота? В конце концов в нете и полезная информация может быть, которую не вредно и в домашнюю паапку сохранить, а чтоб лишенго не качали так если не будет свободного места так и качать не будут.
:).
А что касается тестирования, то по-моему было предложено разумное решение когда препод с помощью RIGHT меняет махом права доступа к хомякам на время тестирования.
Сергей Дубовский
 
Сообщения: 180
Зарегистрирован: 05 мар 2003, 12:58
Откуда: Москва

Re: Ограничение прав пользователей по месту подключения

Сообщение biruk » 29 июл 2004, 22:53

Дмитрий Митрофанов писал(а):Тривиальная проблема:
ограничить права пользователей (много их) по месту подключения:

1. 10.0.1.0/16 полный доступ (к home каталогу)
2. 10.0.2.0/16 только чтение
3. 10.0.3.0/16 отказать в доступе.


маски правильно пропиши, а то с маской 255.255.0.0 у тебя все в одной сети.
надо /24 или 255.255.255.0
biruk
 
Сообщения: 111
Зарегистрирован: 21 янв 2004, 14:20


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 64

cron