Владислав Пинженин (lanbilling.ru (http://www.lanbilling.ru/)) прислал интересную статью "Безопасность сети на основе 802.1х и SFlow, "идеальная и недостижимая" (http://www.opennet.me/base/net/sflow_8021x.txt.html)", в которой рассказывается об относительно новом способе борьбы с подменой адресов пользователями,
базирующемся на использовании стандарта 802.1х (http://www.ieee802.org/1/pages/802.1x.html) (Port Based Network Access Control) совместно с технологией SFlow (ftp://ftp.rfc-editor.org/in-notes/rfc3176.txt).
что-то я там слова LDAP не нащел...
а при чем тут собственно ? какая разница как хранить эккаунты в конечном итоге, что LDAP что SQL - разница хоть и есть с точки зрения программной реализации и интерфейсов, но сути не меняет.
Очень хорошая статья. Советую всем прочитать и просвятиться.
Автор забыл упомянуть что Web Based Authentication поддерживает лишь ограниченное число коммутаторов, а поддержка идентификации (EAP-MD5) в Винде появилось только в 2000 и то не с первого сервис пака. Бесплатных клиентов под Win9x, WinMe нету (есть Wire1x но его использование в реальных условиях затруднительно). Поэтому приходишлось писать собственного клиента.sFlow так же поддерживают только новые коммутаторы и то не все.
ИМХО безопастность MAN сетей в основном лежит на возможностях коммутатора. Даже строгая привязка мака к порту (в моем случае ip'шки выдает DHCP) + 802.1x не дают 100% защиты клиентов.