Можно ли ограничить регистрацию пользователя в дереве по МAC-адресу. Help для Ethernet/Tokenring из Network Address Restrictions говорит: "This dialog box lets you specify an Ethernet or token ring address. Enter a hexadecimal number (digits 0-9, letters A-F) in each field"
При этом в форме для ввода предлагаются для заполнения поля: SAP, BLOCKID, PUID.
Если можно, то где нужно вводить МAC-адрес?
Может быть кто-нибудь в курсе по Network Address Restriction
Сообщений: 13
• Страница 1 из 1
Может быть кто-нибудь в курсе по Network Address Restriction
Пилютик Михаил » 10 июн 2008, 14:25
- Пилютик Михаил
v13 » 10 июн 2008, 15:58
По мак в netware вроде низзя. в oes linux возможно с помощью ipfilter можно чтонибудь изобразить.
Только есть ли смысл?
Поменять мак может любой студент, также если комп за роутером ты мак и не увидишь.
Мак адреса это забота управляемых свитчей. На них лучше и ограничивать, по принципу: порт=разрешенный мак.
но это слишком геморойно.
Только есть ли смысл?
Поменять мак может любой студент, также если комп за роутером ты мак и не увидишь.
Мак адреса это забота управляемых свитчей. На них лучше и ограничивать, по принципу: порт=разрешенный мак.
но это слишком геморойно.
-
v13 - Сообщения: 660
- Зарегистрирован: 31 авг 2007, 09:07
Андрей Тр. aka RH » 10 июн 2008, 16:16
Можно IP раздавать на конкретные МАКи через ДХЦП ( если больше нечем заняться ), тогда в NAR использовать ограничение по IP. Если есть Зен, то можно ещё ограничивать через объекты рабочих станций ..
Даешь отдельный раздел по ZENworks ... 
.. и печати !
.. и печати !-
Андрей Тр. aka RH - Сообщения: 3937
- Зарегистрирован: 18 июн 2002, 11:27
Пилютик Михаил » 11 июн 2008, 10:49
Да, похоже по мак ограничить регистрацию нельзя.
Здесь - http://www4.dogus.edu.tr/bim/bil_kay/is ... 1/ch10.htm нарыл следующее
"The Ethernet/Token-Ring address format (refer to fig. 10.11) shows the SAP (Service Access Point) address and a 6-byte MAC address. The SAP is a 2-byte field that is part of the Logical Link Control (LLC, also called IEEE 802.2), which could be used with frame types such as ETHERNET_802.2, ETHERNET_SNAP, TOKEN-RING, and TOKEN-RING_SNAP. The 6-byte MAC address is broken down into a 3-byte BLOCKID and a 5-byte Physical Unit ID (PUID). The terms BLOCKID and PUID are used with IBM's SNA or SAA networks. For LAN usage, these fields can be considered to be one long field that can be used to code the station's MAC address."
но мои попытки как-то задать SAP и MAC ни к чему не привели, логиниться не позволяет.
Теперь, кратко зачем мне это. Ни каких глобальных задач по безопасности, просто на бездисковом ПК операторам оборудования нужно в досовском приложении(со своей безопасностью, учетом) вводить данные. Таким способом избавляем операторов от ввода пароля при регистрации в сети. Это приложение интереса у доморощенных хакеров не вызывает.
На данный момент эти ПК работают по IPX и соответственно ограничение было - номер сети:мак, теперь переходим на IP, причем адреса раздаются через DHCP
Здесь - http://www4.dogus.edu.tr/bim/bil_kay/is ... 1/ch10.htm нарыл следующее
"The Ethernet/Token-Ring address format (refer to fig. 10.11) shows the SAP (Service Access Point) address and a 6-byte MAC address. The SAP is a 2-byte field that is part of the Logical Link Control (LLC, also called IEEE 802.2), which could be used with frame types such as ETHERNET_802.2, ETHERNET_SNAP, TOKEN-RING, and TOKEN-RING_SNAP. The 6-byte MAC address is broken down into a 3-byte BLOCKID and a 5-byte Physical Unit ID (PUID). The terms BLOCKID and PUID are used with IBM's SNA or SAA networks. For LAN usage, these fields can be considered to be one long field that can be used to code the station's MAC address."
но мои попытки как-то задать SAP и MAC ни к чему не привели, логиниться не позволяет.
Теперь, кратко зачем мне это. Ни каких глобальных задач по безопасности, просто на бездисковом ПК операторам оборудования нужно в досовском приложении(со своей безопасностью, учетом) вводить данные. Таким способом избавляем операторов от ввода пароля при регистрации в сети. Это приложение интереса у доморощенных хакеров не вызывает.
На данный момент эти ПК работают по IPX и соответственно ограничение было - номер сети:мак, теперь переходим на IP, причем адреса раздаются через DHCP
- Пилютик Михаил
Владимир Семиколенных » 11 июн 2008, 12:41
В юзерскром логин скрипте
if "%P_STATION" != 112233445566 then
logout
Соответственно юзер может залогиниться только с машины с адресом 112233445566
if "%P_STATION" != 112233445566 then
logout
Соответственно юзер может залогиниться только с машины с адресом 112233445566
В.
- Владимир Семиколенных
- Сообщения: 174
- Зарегистрирован: 10 июн 2002, 16:03
- Откуда: Мурманск
v13 » 11 июн 2008, 12:45
Самое правильное - не избавлять операторов от пароля, а даже завести индивидуальные логины под роспись об ответственности. очень поможет при разборах полётов.
Ну или как выше написали раздать статические адреса по мак адресу и ограничивать по ип.
Про токен ринг забудь это из другой оперы.
Ну или как выше написали раздать статические адреса по мак адресу и ограничивать по ип.
Про токен ринг забудь это из другой оперы.
-
v13 - Сообщения: 660
- Зарегистрирован: 31 авг 2007, 09:07
Пилютик Михаил » 11 июн 2008, 12:45
Владимир Семиколенных писал(а):В юзерскром логин скрипте
if "%P_STATION" != 112233445566 then
logout
Соответственно юзер может залогиниться только с машины с адресом 112233445566
Спасибо, это понимаю. Не хотелось загромождать логин скрипт контейнера(юзерский скрипт у нас не в почете)
- Пилютик Михаил
Пилютик Михаил » 11 июн 2008, 12:53
v13 писал(а):Самое правильное - не избавлять операторов от пароля, а даже завести индивидуальные логины под роспись об ответственности. очень поможет при разборах полётов.
Ну или как выше написали раздать статические адреса по мак адресу и ограничивать по ип.
Про токен ринг забудь это из другой оперы.
По поводу индивидуальных логинов абсолютно согласен, претворяю в жизнь. Но в жизни все гораздо сложней и иногда приходиться нарушать самые правильные правила.
Про токен ринг забудь - если вы заметили там в Network Address Restrictions есть вариант ограничений Ethernet/Tokenring, я это понял как возможность ограничивать и в Ethernet ив Tokenring
- Пилютик Михаил
v13 » 11 июн 2008, 13:00
Пилютик Михаил писал(а):если вы заметили там в Network Address Restrictions есть вариант ограничений Ethernet/Tokenring, я это понял как возможность ограничивать и в Ethernet ив Tokenring
Токен ринг это такой тип сети типа кольца с разделяемой средой и работой по меткам. Это абсолютно другая вещь и к ip отношение имеет примерно такое же как и ипх.
-
v13 - Сообщения: 660
- Зарегистрирован: 31 авг 2007, 09:07
Dimerson » 11 июн 2008, 13:42
Владимир Семиколенных писал(а):В юзерскром логин скрипте
if "%P_STATION" != 112233445566 then
logout
Соответственно юзер может залогиниться только с машины с адресом 112233445566
Хехе.
А если я этот скрпит с прибором не исполняю ?
-
Dimerson - Сообщения: 2966
- Зарегистрирован: 15 сен 2002, 14:39
- Откуда: Регион 70
Сергей Тюкалов » 26 июн 2008, 16:04
лет 5 назад пользовались этим
в НВадмине Network Address Restrictions прописывали мак адрес для ipx/spx и на рабочей станции предпочитаемый сетевой протокол был ipx все работало как часы...
в НВадмине Network Address Restrictions прописывали мак адрес для ipx/spx и на рабочей станции предпочитаемый сетевой протокол был ipx все работало как часы...
- Сергей Тюкалов
- Сообщения: 52
- Зарегистрирован: 05 июн 2002, 09:13
- Откуда: Казань
Сообщений: 13
• Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6