SAMBA ako PDC, obmedzenie moznosti prihlasenia
Kovar Jan
Kovar_J na tese.cz
Středa Říjen 2 09:53:33 CEST 2002
> On Tue, Oct 01, 2002 at 05:13:18PM +0200, Martin 'MegaSoft'
> Mokry wrote:
> > Ahojte. Zaujimalo by ma ci sa da nejako obmedzit moznost
> prihlasenia
> > uzivatela do domeny len z istych pracovnych stanic a pripadne aj
> > podla casu ? Skusal som cosi googlit ale nepomohlo ...
No jedno reseni me napada, ale je opravdu hrozne kostrbate. A je to jenom
tip. Treba to bude nesmysl, ale nekdo muze cast pouzit pro funkcni reseni.
V sambe se da nastavit, podle ceho se ma nacitat login script. Priklad:
Prihlasuje se uzivatel JARDA ze stroje PC007. Pokud v smb.conf mate, ze
login script je %U.cmd, tak bude hledat v /home/netlogon/ soubor jarda.cmd.
Pokud tam budete mit
%M.cmd, tak bude hledat pc007.cmd. (Nejsem si jisty malymi a velkymi pismeny
u toho %U a %M, ale to najdete v dokumentaci.)
No a teoreticky, by slo nastavit, ze login script bude: %U_%M.cmd
No a pro pripad, ze se Jarda treba nesmi prihlasit z pocitacu pc001 a pc002,
tak udelate login scripty jarda_pc001.cmd a jarda_pc002.cmd, kam date pouze
prikaz logout. Neni to uplne ono, protoze se prihlasi, ale hned se zase
odhlasi, cili nejaky ucel by to plnit mohlo.
No a co se tyka casoveho omezeni, to bude jeste divocejsi. Co treba zkusit
udelat defaultni scripty allow.cmd a denny.cmd. Co bude obsahem allow.cmd je
na vas, co bude obsahem denny.cmd, je asi jasne. No a potom by slo
teoreticky nastavit do cronu, aby v pripade, ze Jarda nesmi na pocitac od
16:00 do 6:00, provedl v 16:00 kopirovani toho scriptu denny.cmd do vsech
moznych jarda_stroj.cmd a rano provedl kopirovani allow.cmd do vsech
jarda_povolenystroj.cmd
Tot jen takovy napad, zkusenejsi kolegove snad opravi, doplni a nezavrhnou
uplne. :-) Ovsem neumim si to predstavit v praxi na velkych sitich. :-)
Vzhledem k tomu, ze je to docela zajimave tema. Neda se tohle nejak resit
treba pomoci LDAP nebo jine takove sluzby?
TNX
Další informace o konferenci Linux