» Флейм для сисадминов (часть III)

PhoenixUA
Права на что? Простите.

cluber
Права учетной записи входящей на терминал (в какую группу пользователей на терминале она входит)
Бывают Пользователи, Опытные пользователи и Администраторы )

All
Никто не знает с чем связан такой глюк: не работает запись на конкретную usb-флешку под конкретным пользователем с ограниченными правами?
Если дать пользователю права админа - запись работает, права опытного пользователя - нет.
С другой флешкой все в порядке. С этой недавно все тоже было хорошо.
Никаких средств блокировки USB не используется.

PhoenixUA

Цитата:

Права на терминале забирать не пробовали?

Они входят в группу, которая входить Remote Desktop Users. Думаю, что они обычные юзеры. Так что вопрос актуален до сих пор..

Народ подскажите пожалуйста в этом вопросе. (Там их 2)

PhoenixUA
Цитата:

с чем связан такой глюк

на флэхе - нтфс? глянь настройки безопасности на всякий пожарный..

Alukardd
У вас какайто жуткий шапокляк с кольцами и арп таблицами.
Проверьте в момент дисконекта что находится в arp таблицах машины и сервера.


Добавлено:
Alukardd
Кстати, линукс подефолту шлет арп во все сетевые карты а не только в ту откуда пришел запрос.


Добавлено:
Хех, итоги дневной работы
http://yfrog.com/ngyfcej

goletsa
Цитата:

Кстати, линукс подефолту шлет арп во все сетевые карты а не только в ту откуда пришел запрос.

Мне не понятно как это объясняет тот факт, что при сканировании сервер отдает 2 раза один и тот же IP, с разных сетевух...
Разжуйте пожалуйста, если это возможно...


Цитата:

Проверьте в момент дисконекта что находится в arp таблицах машины и сервера.

ок, спс. эта мысль была, просто надо будет для этого самому сидеть и работать на клиенте, что бы оказаться там в нужный момент... Попробую...


Цитата:

жуткий шапокляк с кольцами

сетку не я планировал и тянул((( а кольцо образовал 1 дятел - его уволили уже. И хз где петля - есть на примете пара свитчей, но блин руки не доходят по разным причинам


Цитата:

Хех, итоги дневной работы

настроили - довольны... а у меня около 10ка подобных держат сетку, а при этом я понятия не имею как они между собой соединены, и при этом ни 1 не настроен!

Alukardd

Цитата:

Мне не понятно как это объясняет тот факт, что при сканировании сервер отдает 2 раза один и тот же IP, с разных сетевух...
Разжуйте пожалуйста, если это возможно...

Ну тут лучше вооружиться вайршарком.
Тогда будет видно откуда что приходит.
Кстати а мак второго ИП реально соответсвует маку второй сетевой сервера или это какойто умник решил его подделать?


Цитата:

сетку не я планировал и тянул((( а кольцо образовал 1 дятел - его уволили уже. И хз где петля - есть на примете пара свитчей, но блин руки не доходят по разным причинам

Цитата:

настроили - довольны... а у меня около 10ка подобных держат сетку, а при этом я понятия не имею как они между собой соединены, и при этом ни 1 не настроен!

Какие именно свичи? Фирма\Модель?
Есть очень интересная фича - http://en.wikipedia.org/wiki/Link_Layer_Topology_Discovery
Она позволит построить карту железяк. А если они еще и поддерживают Loopguard то кольцо само отключится.
Но по любому надо будет сходить ножками к каждому свичу чтобы привести все к нормальному виду.

goletsa
Цитата:

Ну тут лучше вооружиться вайршарком.

ок проснифю - хотя не пойму что вы от этого ждёте... я доверяю arp-scan

Цитата:

Кстати а мак второго ИП реально соответсвует маку второй сетевой сервера или это какойто умник решил его подделать?

реально соответсвует... какие умники?) в сети подключаться практически не куда(со своего ноута), а все рабочие компы уж очень жёстко урезаны политиками(сам уже считаю что пора ослабить).


Цитата:

Но по любому надо будет сходить ножками к каждому свичу чтобы привести все к нормальному виду.

да - вот тут и есть вся засада - хотя все они очень удобно расположены(не в пыльных подвалах ), но время, время
Свичи Linksys SLM224G и еще 1 какой-то в серверной(хз почему другая модель - номер не помню, серия аналогична -- а кажется они они пропускной способностью внутренней шины отличаются)...

Alukardd

Цитата:

ок проснифю - хотя не пойму что вы от этого ждёте... я доверяю arp-scan

он может некоректно понять арп ответ пришедший с другой сетевой.
у меня так арп-скан местами сильно косячит выдаваю чуть ли не по 10 дубриующих записей.


Цитата:

реально соответсвует... какие умники?) в сети подключаться практически не куда(со своего ноута), а все рабочие компы уж очень жёстко урезаны политиками(сам уже считаю что пора ослабить).

малоли


Цитата:

да - вот тут и есть вся засада - хотя все они очень удобно расположены(не в пыльных подвалах ), но время, время

зато потом при обслуживании, 2 клика мышкой и нехороший сегмент сам отвалится и будет ограничен.


Цитата:

Свичи Linksys SLM224G и еще 1 какой-то в серверной(хз почему другая модель - номер не помню, серия аналогична -- а кажется они они пропускной способностью внутренней шины отличаются)...

Клевые свичи, фактически это cisco а они умеют железо делать. Хотя все можно испортить неправильным использованием.



Добавлено:

Цитата:

Свичи Linksys SLM224G

Хм, прочитал их описание, чтото маловато фич.
Ну хоть можно посмотреть таблицу форвардинга чтобы найти откуда светтся оба мака сервера.

goletsa
Цитата:

Хотя все можно испортить неправильным использованием.

и не говорите - плакать хочется, когда вижу их работающими как обычные "тупые" коммутаторы!

Alukardd
А ведь если попараноить то можно настроить на них 802.1x, привязку маков к портам, авторизацию через радиус сервер, сегментирование сети через vlan'ы, приоритезацию разных классов трафика.
Мммммм. Враг не пройдет

TheBarmaley

Цитата:

на флэхе - нтфс?

Хз. Почему-то сразу не посмотрел, а уже переформатировали (сейчас фат32). Все ок.

goletsa

Цитата:

привязку маков к портам

Не слишком параноидально для организации?
Это ж себе геморрой создавать при замене компов.

Цитата:

Клевые свичи, фактически это cisco а они умеют железо делать. Хотя все можно испортить неправильным использованием.

Дорого необосновано.. В тренднет качества железа приятней =)

Цитата:

Не слишком параноидально для организации?
Это ж себе геморрой создавать при замене компов

Скинуть адрес занимает менее 2х минут. Зато безопасность увеличивается в разы!!!

Цитата:

занимает менее 2х минут

Угу, особенно если комп меняет другой человек, а ты в это время или где-то занят, или в отпуске.
Давать права на коммутаторы тоже не есть гуд.

goletsa
тадамс...
источник проблемы всё-таки в перекрестке и винде, как класс...) просто линуксовые машины такой глюк не давали...

В общем хз по каким таким причинам, но виндовые тачки время от времени меняют мак шлюза в своей арп таблице на 2-ой - а правила iptables этого не допускают... при этом я был подключен через putty к серваку, и коннект не порвался - сессия оставалась жить по старому маку, а все новые соединения пошли лесом...

В воскресенье наверное пойду на работу, свичи настраивать, что бы юзеров не беспокоить во время работы Хотя я их ни когда не настраивал, но будем стараться)

Цитата:

Скинуть адрес занимает менее 2х минут.

Цитата:

Угу, особенно если комп меняет другой человек

Поменять МАК-адрес на сетевой занимает менее 1 минуты

Кто будет менять? Тот человек, что принес новый компьютер?
А где он возьмет старый мак? Если предыдущий комп гавкнулся (да хоть та же сетевуха)...

Я не зря упомянул 802.1x
Так можно привязку делать динамической.
А для изменения лезть на свич не придется ибо есть радиус сервер который этим рулить будет.

Цитата:

Кто будет менять?

Без разницы... Заходишь в панель, удаляешь старый мак - ставишь комп...

Народ, вуаля... мне дают новый комп, который 2 раза мощнее чем нынешний. Я рад, но есть большая проблема. Там у меня очень много софтов, некоторые очень долго ставятся(очень много настроек) . Через некоторые сапорт центры придется решат. Поэтому, можно ли через Acronics или есть другие мощные средства для переноса всех ПО? Hardware отличается почти полностью.

rkhodjaev
через sysrep + акронис (UniversalRestore) можно попробовать... где то видел соответствующюю тему...
но если софт привязан к конкретному железу, то не судьба))

rkhodjaev
Перенос системы на другую материнскую плату (#2)

PhoenixUA
Цитата:

Почему-то сразу не посмотрел

по ходу оно и было, раз
Цитата:

уже переформатировали (сейчас фат32). Все ок.

возможно, совали в тачку с какой-нить блокировкой и проставили "нужные" права на корень диска.. :)

goletsa
я не совсем понимаю, вы хотите использовать RADIUS для авторизации свичей или клиентов или и тех и других?

И я ни как не смог найти как вообще авторизовывается клиент на сервере через свич по 802.1х??? я про то какие телодвижения для этого надо сделать на клиентах XP SP2 (или SP3, что пока не желательно - WSUS не настроен)???
С Ubuntu я так понял проблем ни каких -
Код: auto eth0
iface eth0 inet dhcp
wpa-driver wired
wpa-eap TTLS
wpa-key-mgmt IEEE8021X
wpa-anonymous-identity <here i just entered "none">
wpa-identity <youridentity>
wpa-password <yourpassword>
wpa-phase2 auth=MSCHAPV2

Alukardd

Цитата:

я не совсем понимаю, вы хотите использовать RADIUS для авторизации свичей или клиентов или и тех и других?

Для авторизации клиента на порту свича.
Некоторые свичи еще умеют авторизовывать админа при вхоже на свич не только с помощью локальной таблицы логинов но и с внешнего радиус сервера.


Цитата:

И я ни как не смог найти как вообще авторизовывается клиент на сервере через свич по 802.1х???

Ммм. При включеной 802.1x авторизации свич пропускает ТОЛЬКО пакеты на запрос авторизации. После получения запроса свич инициализирует сессию к радиусу и если все ок то открывает на порту доступ для остального трафика. После этого можно делать еще и проверку мака (или во время радиус авторизации, зависит от свича и настроек).

Цитата:

я про то какие телодвижения для этого надо сделать на клиентах XP SP2 (или SP3, что пока не желательно - WSUS не настроен)???

Если не ошибаюсь (довольно давно игрался с такой авторизацией) достаточно запустить службу, в свойствах сетевой карты появится вкладка связанная с 802.1x

столкнулся намедни с забавной хренью:
при попытке зайти на комп через сеть (с одминскими правами) вываливается сообщение:
Код: "Вход в систему не произведён: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен"

TheBarmaley
недавно встречался с подобным, не могу достоверно сказать что было, так как присутствовали шаманские действия не разумные, но что-то с реестром было точно...

Гугл и Яндекс на эту тему много разного говорит, вот и тыкался я туда и сюда, и опять туда, и политики, и гости, и пароли хз что было

TheBarmaley
если за локального админа пытаетесь, мб он просто отключен?)

goletsa
Цитата:

Ммм. При включеной 802.1x авторизации свич пропускает ТОЛЬКО пакеты на запрос авторизации. После получения запроса свич инициализирует сессию к радиусу и если все ок то открывает на порту доступ для остального трафика. После этого можно делать еще и проверку мака (или во время радиус авторизации, зависит от свича и настроек).

это я и сам прочитал, уточнение "я про то..." писалось именно для того что бы вы не писали первое повествование, а сразу казали про активацию нечто
Щас глянул, на XP SP2 на вкладке "Проверка подлинности" есть галочка 802.1х и с возможностью MD5, только я когда про все это читал, то считал, что там что-то типа пароля... а теперь даже хз как RADIUS сервер это все проверяет?) по каким параметрам он авторизовывает клиента...