Fórum Ubuntu Linux - PT
Suporte Técnico => Servidores => Tópico iniciado por: valdineysr em 04 de Abril de 2012, 11:39
-
Olá pessoal.
Bem ano passado eu montei um servidor domínio com samba (sem ldap) e dhcp gerenciado via webmin. Só que agora meu chefe quer que somente as maquina que estiverem no domínio recebam ip do dhcp?
Alguém sabe como isso é possível no ubuntu server com as caracteristicas acima? pois segundo ele o windows 2003 server fazia isso.
-
É meu amigo...
Chefe tem cada uma...
Se o seu chefe disse que o W2003 fazia isso... Então com certeza não fazia. Se alguém souber, por favor, digam como que quero saber também.
O Dhcp não está relacionado ao domínio e pronto, por isso ele vai enviar IP para quem pedir.
Pense bem e veja o fluxo:
1 - Para uma maquina logar no domínio, ela precisa se comunicar com o domínio, certo?
2 - Para se comunicar com o domínio ela precisa de um IP, certo?
3 - Para ter um IP é preciso recebe-lo do Dhcp.
Sem um IP, como o micro vai se comunicar com o domínio e por fim, se autenticar.
Fluxo: Micro recebe IP / Se comunica e autentica no Domínio / Trabalha na rede.
O fluxo da magia proposto pelo seu chefe é:
1 - A maquina se comunica por "magica" com o domínio, por que a mesma não tem IP e a placa de rede está desconfigurada.
2 - A maquina por "magia negra" se autentica no domínio. Incrível.
3 - Depois a maquina recebe o IP para se comunicar e trabalhar.
4 - Depois disso, a o servidor faz o almoço e o micro faz massagem.
Nossos chefes aprontam cada uma.
Quero muito estar errado e que de alguma forma esse fluxo possa funcionar. Se alguém souber como, por favor, respondam que seria algo muito interessante de se implantar.
valdineysr, brincadeiras a parte, podemos estabelecer uma relação de confiança entre os clientes e os servidores e permitir que os clientes que estão autenticados possam se comunicar com os servidores, excluindo essas maquinas do domínio, mas é complicado exclui-las da rede. Pode fazer algo se os equipamentos de rede forem gerenciáveis e bloquear a porta do Switch cujo micro não esteja logado no domínio ou criar uma rota em um roteador onde bloqueia-se o IP do dito cujo, restringindo o acesso a grande parte da rede. Mas isso é feito por uma combinação de scripts/switch gerenciáveis ou roteador.
Se a rede é pequena, pode amarrar o mac ao ip liberando apenas os micros de confiança, aumenta a segurança mas isso não impede que o micro sem domínio entre na rede.
Boa sorte na tentativa de implantar algo, mas não sei como ajudar a fazer com que o S.O faça isso e acredito que o seu chefe está 100% enganado com essa informação, a menos que o IPsec tenha algum recurso maluco que faça isso, mas o mesmo precisa se comunicar com o cliente e por isso o cliente tem de ter IP.
Vou acompanhar o post para ver se algo interessante aparece.
Att,
-
Você precisa de um switch com autenticação 802.1X. Aí sim o Win2003 pode impedir (ou permitir) uma máquina de receber IP no DHCP.
-
Boa zekkerj, autenticação baseada em portas é uma proteção secundária que nega acesso a rede sem autenticação.
Andei pesquisando... e nada.
zekkerj, você sabe de algum "recurso do S.O" seja Linux ou Windows que faça o que o chefe do valdineysr diz funcionar?
Não vi nada sobre o S.O fazer isso sem Switch ou roteador.
Att,
-
O DHCP do Windows 2003 é integrado com o AD. Ele deve ter visto alguma coisa de fixar os IPs das máquinas a partir da informação do AD. Mas não é configuração padrão.
-
Pois é, eu to vendo isso no 2K8 e nada, to subindo uma vm com 2K3.
Realmente estou curioso em saber onde está o recurso que o chefe do amigo viu.
Nem levei em consideração existir algo assim no ldap ou uma integração dessas com o dhcp sem um script doido.
Poxa, quando eu preciso nunca tenho o suporte da Microsoft. Onde estou é 90% linux.
-
E ainda reclama... :D
-
Diretamente nao sei como (talvez tenha, mas ...), mas ha uma soluçao de contorno simples pra isso, basta voce recolher dados das maquinas em dominio (no caso o mac) e configurar seu bind por mac list, para que ele so forneça ip pra quem estiver na mac list (que voce vai gerar a partir do samba).
Basicamente voce teria uma script para gerar a mac list no servidor samba e atualizar o arquivo para o bind sempre que necessario, e a configuraçao do bind para disponibilizar ip apenas para as maquinas com mac na mac list.
-
É meu amigo...
Chefe tem cada uma...
Se o seu chefe disse que o W2003 fazia isso... Então com certeza não fazia. Se alguém souber, por favor, digam como que quero saber também.
O Dhcp não está relacionado ao domínio e pronto, por isso ele vai enviar IP para quem pedir.
Pense bem e veja o fluxo:
1 - Para uma maquina logar no domínio, ela precisa se comunicar com o domínio, certo?
2 - Para se comunicar com o domínio ela precisa de um IP, certo?
3 - Para ter um IP é preciso recebe-lo do Dhcp.
Sem um IP, como o micro vai se comunicar com o domínio e por fim, se autenticar.
Fluxo: Micro recebe IP / Se comunica e autentica no Domínio / Trabalha na rede.
O fluxo da magia proposto pelo seu chefe é:
1 - A maquina se comunica por "magica" com o domínio, por que a mesma não tem IP e a placa de rede está desconfigurada.
2 - A maquina por "magia negra" se autentica no domínio. Incrível.
3 - Depois a maquina recebe o IP para se comunicar e trabalhar.
4 - Depois disso, a o servidor faz o almoço e o micro faz massagem.
Nossos chefes aprontam cada uma.
Quero muito estar errado e que de alguma forma esse fluxo possa funcionar. Se alguém souber como, por favor, respondam que seria algo muito interessante de se implantar.
valdineysr, brincadeiras a parte, podemos estabelecer uma relação de confiança entre os clientes e os servidores e permitir que os clientes que estão autenticados possam se comunicar com os servidores, excluindo essas maquinas do domínio, mas é complicado exclui-las da rede. Pode fazer algo se os equipamentos de rede forem gerenciáveis e bloquear a porta do Switch cujo micro não esteja logado no domínio ou criar uma rota em um roteador onde bloqueia-se o IP do dito cujo, restringindo o acesso a grande parte da rede. Mas isso é feito por uma combinação de scripts/switch gerenciáveis ou roteador.
Se a rede é pequena, pode amarrar o mac ao ip liberando apenas os micros de confiança, aumenta a segurança mas isso não impede que o micro sem domínio entre na rede.
Boa sorte na tentativa de implantar algo, mas não sei como ajudar a fazer com que o S.O faça isso e acredito que o seu chefe está 100% enganado com essa informação, a menos que o IPsec tenha algum recurso maluco que faça isso, mas o mesmo precisa se comunicar com o cliente e por isso o cliente tem de ter IP.
Vou acompanhar o post para ver se algo interessante aparece.
Att,
Quando ele disse isso também fiquei meio tipo: como assim? :o. Mas como não tinha absoluta certeza resolvi colocar esse post aqui. Acredito que o único propósito mesmo dele é embargar o linux que já funciona na rede. Já havia reportado isso ao zekkerj em outro post, cuja a resposta foi: que chances eu tenho? verdade.
O motivo é pura cisma. Não vejo problema em usar windows já que na ponta também é. O problema é que a cada mudança de governo mudam a exigências e implementar soluções encima do windows normalmente são pagas e nem todo o governo quer pagar. Por isso prefiro linux nesse ponto.
-
Pessoal,
vai precisar do server RADIUS também e pelo que testei só funciona com autenticação de usuário e não de máquina.
algém saber como autenticar a máquina linux no AD? não é inserir no dominio, é depois de inserido ela se comportar como uma máquina windows que troca autenticação kerberos no AD.
Obrigado!
-
Olá @jvera,
Este tópico não recebia respostas desde 2012. Muita coisa mudou desde lá, até mesmo na participação dos usuários no fórum.