Идентификация пользователя в ЛВС

Все остальное

Идентификация пользователя в ЛВС

Сообщение Андрей » 05 дек 2016, 13:33

Приве всем.
Вопрос из сабжа. Есть сеть, есть сервер доступа (pptp - mpd5). Там клиент идентифицируется по логину, паролю и Ip, получает внешний ip и получает доступ к Интернет. Это все логично и понятно. Вопрос. Если убрать из сети сервер доступа с его pptp, сделать доступ к сети средствами шлюза. Как в этом случае идентифицировать клиента?

dhcp+option82 и проверять с какого порта пришел запрос? В этом случае сильно важен человеческий фактор.
cisco + tacacs отпадает, т.к. не везде есть cisco и не везде есть tacacs.

Извиняюсь за глупый вопрос.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1017
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Идентификация пользователя в ЛВС

Сообщение root » 07 дек 2016, 09:52

порт + mac + ip
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1809
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Идентификация пользователя в ЛВС

Сообщение Андрей » 09 дек 2016, 09:37

root писал(а):порт + mac + ip

Соответствие порта + mac - это понятно. Проблема только в том, что клиент может:
1. подменить железо (У нас был ноутбук, а теперь поставили ролтор и ничего не работает, сколькоможно а!)
2. Ip клиента. По сути его должна будет назначить служба dhcp с опцией 82, если исходить из 1-го пункта.
3. как, скажем, сервер доступа должен понимать, что это именно тот, кто пытается выйти в сеть именно тот, кем он является? Сервер, вроде бы не понимает с какого порта произошло подключение?

4. Как-то реально сделать доступ в сеть только таким образом, что какой бы я ip себе не прописывал, доступ в сеть был бы возможен только на условии получения ip от dhcp сервера? Пример: прописал я себе 10.121.11.17/24, шлюз 10.121.11.254 и не получил доступа к сети, а получил точно такой же адрес от dhcp - доступ предоставлен.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1017
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Идентификация пользователя в ЛВС

Сообщение lehisnoe » 13 дек 2016, 12:31

Андрей писал(а):Сервер, вроде бы не понимает с какого порта произошло подключение?

Согласно RFC 3046 сервер, при дОлжной настройке, может прекрасно понимать, т.к. опция 82 включает инфу о порту, с которого пришел DHCP-запрос:
3.0 Relay Agent Information Sub-options

3.1 Agent Circuit ID Sub-option

This sub-option MAY be added by DHCP relay agents which terminate
switched or permanent circuits. It encodes an agent-local identifier
of the circuit from which a DHCP client-to-server packet was
received.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 533
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: Идентификация пользователя в ЛВС

Сообщение root » 15 дек 2016, 14:18

Даже тема такая есть dhcp option82, которую он же и поднимал.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1809
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia


Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

cron