Самба - ограничаване по mac address/ip/mashine name...
Здравейте,
Дайте ми идея как мога да направя следното.
Сървър Fbsd + Самба 3.024
Искам да направя, така че юзър "pesho" да може да се връзва само от машината "pesho" и/или от mac address "еди кой си"
Има ли самбата нещо такова като поддръжка?
Единственото, което намерих е hosts allow, нищо повече...
Re: Самба - ограничаване по mac address/ip/mashine name...
Е защо не ти върши работа host allow? пишеш IP адреса на машината и си готов
ако си пуснал и DHCP сървър и той раздава IP_та по МАС адрес работата става почти същата.
вярно че подлия лузер може да си нагласи IP-то на ръка, но тогава нали ще изреве истинския потребител на това IP
Re: Самба - ограничаване по mac address/ip/mashine name...
Еми защото така юзърите пак ще могат да се логват от различни станции с техните имена и пароли....
Друга опция е "огнената стена" , но там е почти същата работа. Пускам 139 и 445 порт...
Re: Самба - ограничаване по mac address/ip/mashine name...
не могат, ако зададеш
hosts allow = 192.168.1.10, 192.168.1.11, 192.168.1.23
и security = share
ще достъпват шернатият ресурс само тези IP-ta, другите ще са малко ограничени :)
Re: Самба - ограничаване по mac address/ip/mashine name...
security = user
и по този начин един "pesho" ще може да се логне от .10 и .11 и .23
а идеята е "pesho" да може да се логва само от .11 например....
Re: Самба - ограничаване по mac address/ip/mashine name...
Цитат:
Първоначално публикувано от get
security = user
и по този начин един "pesho" ще може да се логне от .10 и .11 и .23
а идеята е "pesho" да може да се логва само от .11 например....
А защо да не може? Каква е основната цел?
Re: Самба - ограничаване по mac address/ip/mashine name...
Май няма как да стане трика, по принцип в АД е предвидено ограничение за това на кой компютър, кой узер може да се логне, което е горедолу достатъчно като идея, но малко ме съмнява да може да се направи това със Самба.
Re: Самба - ограничаване по mac address/ip/mashine name...
Т.е. трябва да пусна самбата като домейн, да "вкарам" юзърите в нея и чак тогава да ги ограничавам....
Хубавото, е че ще имам доста по-голям контрол върху юзърите по този начин, но все пак не беше това основната идея.
Щом няма друг начин...
Re: Самба - ограничаване по mac address/ip/mashine name...
точно това, което искаш няма да стане или поне не само със самба
бъдещата самба би трябвало да има вграден лдап сървър и евентуално в нея ще можеш да правиш някакви такива "магии" - за момента самба може това, което са ти посочили колегите, както и да разчита на външен аутентикиращ източник (лдап и т.н.), така че засега - http://www.samba.org/samba/docs/man/...ing-samba.html
т.е. или ползвай каквото имаш, или нещо външно както са ти предложили, или (предполагам) може и да си напишеш някакви допълнителни скриптове, които да се закачат на логин
Re: Самба - ограничаване по mac address/ip/mashine name...
Самбата не покрива много голяма част от функциалността на AD. Съмнява ме че точно тези рестрикшъни може да се постигнат. Това което може да се постигне е отдалечено съхраняване на профилите, логин скриптове и подобни дреболийки. Може и да не съм прав, признавам си не съм гуру на тема самба, нито на тема активна директория. Организирането на майкрософтски домейн под самба е едно доста тежко и неблагодарно занятие за човек който до този момент не го е правил. IMHO е най-добре да се нацъка на конзолките на един сървър 2003. Това е само съвет от човек, който е патил от такива неща. За съжаление ако имаш голям домейн с доста клиентски машини, юзъри, профили, групи и всичките им подобни бози, минаването на оупън сорс решения, колкото и да ги предпочитам е много тежко и почти невъзможно.
recycled_bin, вграден ЛДАП сървър звучи много хм... интересно като понятие. Самбата просто има нужда от ЛДАП сървър за четене на атрибутите на потребителите. Все пак това седи в самата основа на активната директория :)
Re: Самба - ограничаване по mac address/ip/mashine name...
Чак до домейн няма да се стига. В краен случай ако има нужда от домейн, то ще бъде Уин2000/2003.
Относно самбата, най-вероятно ще остане така - за определен шеър, определен диапазон от айпи адреси /не е точно, това което исках, но пак е нещо/. Засега самбата ме устройва по този начин. Пуснал съм като модули аудит и "кошчето", така че да мога да след кой кога кой файл е модифицира/създал/изтрил и т.н. и да мога да върна нещо ако бъде изтрито.
Ok... Благодаря на всички, които се включиха !
p.s. но все пак ако излезе нещо.. давайте ;-)
Re: Самба - ограничаване по mac address/ip/mashine name...
Цитат:
Първоначално публикувано от fori
recycled_bin, вграден ЛДАП сървър звучи много хм... интересно като понятие. Самбата просто има нужда от ЛДАП сървър за четене на атрибутите на потребителите. Все пак това седи в самата основа на активната директория :)
AD е MS версията, която реализира LDAP протокола
http://wiki.samba.org/index.php/Samba4/FAQ
Цитат:
Will Samba 4 eventually have a built-in, full fledged LDAP server?
Yes. While we certainly won't compare ourselves with the standards-based products from other vendors (our aim is to please AD clients first, and hopefully do so while complying with the standards), it will include an LDAPv3 server. We will not depend on other servers but perhaps can use them if available.
Re: Самба - ограничаване по mac address/ip/mashine name...
И от същата страница:
No. Samba 4 is still under heavy development. Samba 4 is not due to replace Samba 3 soon. Many of the required core features are present, but the code is still alpha and user tools as well as some core features are still missing.
Some day...
Re: Самба - ограничаване по mac address/ip/mashine name...
:) ох, не ми се заяжда, но все пак виж, че съм написал защо не става и как "БЪДЕЩАТА самба ... блаблабла ..." - със здраве :Drinks:
Re: Самба - ограничаване по mac address/ip/mashine name...
Sorry, за бъдещата не го бях видял... anyway... като излезе 4-ката и ще я тестваме ;-)