Как запретить доступ не с компьютеров домена под управлением Samba 3?
Вариант указания пользователям заходить только с определенных компьютеров не подходит, т.к. достаточно указать группу с названием как у домена и назвать компьютер как указано у пользователя и он пускает, что не есть хорошо.

• Как запретить доступ не с компьютеров домена,Tiger, 14:05 , 19-Апр-05
  • Как запретить доступ не с компьютеров домена,milig, 08:19 , 20-Апр-05
    • Как запретить доступ не с компьютеров домена,proxycat, 12:20 , 22-Апр-05
      • Как запретить доступ не с компьютеров домена,milig, 09:44 , 23-Апр-05
        • Как запретить доступ не с компьютеров домена,Tiger, 11:27 , 25-Апр-05

>Как запретить доступ не с компьютеров домена под управлением Samba 3?
>Вариант указания пользователям заходить только с определенных компьютеров не подходит, т.к. достаточно
>указать группу с названием как у домена и назвать компьютер как
>указано у пользователя и он пускает, что не есть хорошо.

Доступ куда?

Если не передавать пароли "по наследству", то проблемы не должно возникать.

Самый простой вариант
host allow

Ну а если пользователи еще и IP подделывают, тогда не давать им админских
прав (тогда и первоначальная проблема уйдет), а если узвери не
контролируемые, то ... вариантов много обрисуй ситуацию точнее.

>>Как запретить доступ не с компьютеров домена под управлением Samba 3?
>>Вариант указания пользователям заходить только с определенных компьютеров не подходит, т.к. достаточно
>>указать группу с названием как у домена и назвать компьютер как
>>указано у пользователя и он пускает, что не есть хорошо.
>
>
>Доступ куда?
>
>Если не передавать пароли "по наследству", то проблемы не должно возникать.
>
>Самый простой вариант
>host allow
>
>Ну а если пользователи еще и IP подделывают, тогда не давать им
>админских
>прав (тогда и первоначальная проблема уйдет), а если узвери не
>контролируемые, то ... вариантов много обрисуй ситуацию точнее.

Промышленное предприятие.
Есть домен Samba 3.
Есть АСУТП, где люди могут и MAC подделать и IP и прокси установить. Отбирать права Администраторов у них на компьютерах не получится, т.к. вой поднимут, что не могут оборудование обслуживать на заводе (что логично). Я системный администратор и разбираться с ихними АСУТП-ми делами просто не в состоянии (что им там за права действительно нужны для обслуживания их контроллеров и т.д.)
Задача такая: Пустить в интернет не всех, а определенное кол-во из этих людей.
Настроил Squid 2.5 с авторизацией пользователей из домена.
Все красиво, если пускает в домен и пользователь из определенной группы, то и в интернет пускает.
Административными ресурсами смогу отобрать права Администраторов с компьютеров, что будут иметь доступ в Интернет, но им же будет интересно и с других машин попробовать (я не сомневаюсь). Поэтому надо сделать так, что пока я их компьютеры в домен не пропишу, то и интернета нет.
Вот такие пироги.

P.S. пока они к сети ЛВС не подключены.

А при помощи firewall не пробовал решить проблему?

>А при помощи firewall не пробовал решить проблему?

люди могут и MAC подделать и IP и прокси установить

Ну хоть кого-то ты собираешься пустить?
Если нет - нет проблем, закрой всем.
А если да - то какая тебе разница с какой машины он это сделает?
По моему должно быть так: человеку дается определенный уровень доступа,
а как он им пользуется это его дело, главное чтоб его "возможности" не передавались по эстафете. А для этого вести протоколы и анализировать.
В конце концов, если все там такие умные, и все подделывать могут, то раздели подсети аппартно. Купи еще одну сетевуху...Намек понял?
Все машины которым разрешено выходить пусть приходят через одну группу свичей, а на другой сетевухе рубить доступ к инету (или куда там у тебя).
(правда если структура предприятия очень запутанная может понадобиться дополнительный свич). Все зависит от возможности фирмы. А может если все люди такие умные и не стоит им блокировать. Блага для того и делаются, что бы ими пользоваться, может достаточно накладывать ограничения и лимиты?