Авторизация пользователей Windows на серверах Linux

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Аватара пользователя
TeRminaToR
Advanced member
Сообщения: 105
Зарегистрирован: 07 окт 2002, 20:07
Откуда: Москва
Контактная информация:

Авторизация пользователей Windows на серверах Linux

Сообщение TeRminaToR » 07 май 2004, 16:31

Итак, раз уж шифрование трафика в локальной сети на скорости до 100мбит/c программным образом практически не возможна, то фактически для защиты от снифинга остается не так много способов, а именно только разделение физической сети на виртуальные сегменты. Будь то отдельные подсети и маршрутизаторы или VLAN и соответствующие коммутаторы с сетевыми платами...

Ну да бог с ними. В конце концов, опасность перехвата трафика данных не всегда актуальна. Большую актуальность имеет проблема перехвата данных об учетной записи пользователя таким образом, что в будущем злоумышленник сможет подделывать запросы пользователя и использовать КИС от его имени.

Общеизвестно, что аутентификация на основе пароля, особенно по протоколу NTLM уже давно не обладает даже минимально приемлемой надежностью. Kerberos отчасти спасает положение, но по большому счету, уже сейчас на особо важных участках невозможно обойтись без двухфакторной аутентификации. И если под Windows 2000+ уже давно существуют подобные системы (например, i-token), то под Linux на российском рынке ничего стоящего мне найти не удалось.

А ведь не для кого не секрет, что Linux в последнее время набирает обороты. Все чаще и чаще можно видеть корпоративные сервера под управлением Linux (по сообщениям IDC). HP продвигает Novell Suse, да и IBM тоже. Но у них несколько другие решения, они и Linux сервера и Linux десктопы продвигают. А у нас же, как обычно, все не как у людей. Доминируют гетерогенные сети с серверами на всевозможных линуксах и клиентами с Windows 95/98.

Так вот, а в этой ситуации, авторизация пользователей в той же SAMBA возможна только по протоколу NTLM, что с точки зрения безопасности совершенно не годится.

Вообще, я полагаю VPN отчасти должен решить проблему. www.freeswan.org посещал, но честно говоря, с ходу настроить не получилось, а дистрибутива линукса поддерживающего ipsec изначально найти в продаже не удалось :-(

Может быть кто-нить уже настраивал авторизацию пользователей Windows машин на Linux серверах через VPN? Как все прошло?

А еще лучше, если подскажите мультиплатформенную систему двухфакторной авторизации пользователей. Можно и даже нужно - коммерческую с соответствующими сертификатами. Главное, чтобы пользователь SAMBA или Sendmain или Squid мог быть надежно аутентифицирован со своего рабочего места под управлением Windows 98 прежде всего, и 2000 желательно.

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»