Só entra quem estiver no domínio, como?

valdineysr · 04 de Abril de 2012, 11:39

Olá pessoal.

Bem ano passado eu montei um servidor domínio com samba (sem ldap) e dhcp gerenciado via webmin. Só que agora meu chefe quer que somente as maquina que estiverem no domínio recebam ip do dhcp?

Alguém sabe como isso é possível no ubuntu server com as caracteristicas acima? pois segundo ele o windows 2003 server fazia isso.

raidicar · 04 de Abril de 2012, 15:10

É meu amigo...

Chefe tem cada uma...

Se o seu chefe disse que o W2003 fazia isso... Então com certeza não fazia. Se alguém souber, por favor, digam como que quero saber também.

O Dhcp não está relacionado ao domínio e pronto, por isso ele vai enviar IP para quem pedir.

Pense bem e veja o fluxo:
1 - Para uma maquina logar no domínio, ela precisa se comunicar com o domínio, certo?
2 - Para se comunicar com o domínio ela precisa de um IP, certo?
3 - Para ter um IP é preciso recebe-lo do Dhcp.
Sem um IP, como o micro vai se comunicar com o domínio e por fim, se autenticar.
Fluxo: Micro recebe IP / Se comunica e autentica no Domínio / Trabalha na rede.

O fluxo da magia proposto pelo seu chefe é:
1 - A maquina se comunica por "magica" com o domínio, por que a mesma não tem IP e a placa de rede está desconfigurada.
2 - A maquina por "magia negra" se autentica no domínio. Incrível.
3 - Depois a maquina recebe o IP para se comunicar e trabalhar.
4 - Depois disso, a o servidor faz o almoço e o micro faz massagem.
Nossos chefes aprontam cada uma.
Quero muito estar errado e que de alguma forma esse fluxo possa funcionar. Se alguém souber como, por favor, respondam que seria algo muito interessante de se implantar.

valdineysr, brincadeiras a parte, podemos estabelecer uma relação de confiança entre os clientes e os servidores e permitir que os clientes que estão autenticados possam se comunicar com os servidores, excluindo essas maquinas do domínio, mas é complicado exclui-las da rede. Pode fazer algo se os equipamentos de rede forem gerenciáveis e bloquear a porta do Switch cujo micro não esteja logado no domínio ou criar uma rota em um roteador onde bloqueia-se o IP do dito cujo, restringindo o acesso a grande parte da rede. Mas isso é feito por uma combinação de scripts/switch gerenciáveis ou roteador.

Se a rede é pequena, pode amarrar o mac ao ip liberando apenas os micros de confiança, aumenta a segurança mas isso não impede que o micro sem domínio entre na rede.

Boa sorte na tentativa de implantar algo, mas não sei como ajudar a fazer com que o S.O faça isso e acredito que o seu chefe está 100% enganado com essa informação, a menos que o IPsec tenha algum recurso maluco que faça isso, mas o mesmo precisa se comunicar com o cliente e por isso o cliente tem de ter IP.

Vou acompanhar o post para ver se algo interessante aparece.

Att,

zekkerj · 04 de Abril de 2012, 15:43

Você precisa de um switch com autenticação 802.1X. Aí sim o Win2003 pode impedir (ou permitir) uma máquina de receber IP no DHCP.

raidicar · 04 de Abril de 2012, 18:19

Boa zekkerj, autenticação baseada em portas é uma proteção secundária que nega acesso a rede sem autenticação.

Andei pesquisando... e nada.
zekkerj, você sabe de algum "recurso do S.O" seja Linux ou Windows que faça o que o chefe do valdineysr diz funcionar?
Não vi nada sobre o S.O fazer isso sem Switch ou roteador.

Att,

zekkerj · 05 de Abril de 2012, 00:15

O DHCP do Windows 2003 é integrado com o AD. Ele deve ter visto alguma coisa de fixar os IPs das máquinas a partir da informação do AD. Mas não é configuração padrão.

raidicar · 05 de Abril de 2012, 13:17

Pois é, eu to vendo isso no 2K8 e nada, to subindo uma vm com 2K3.
Realmente estou curioso em saber onde está o recurso que o chefe do amigo viu.
Nem levei em consideração existir algo assim no ldap ou uma integração dessas com o dhcp sem um script doido.
Poxa, quando eu preciso nunca tenho o suporte da Microsoft. Onde estou é 90% linux.

zekkerj · 05 de Abril de 2012, 17:35

E ainda reclama...

Kriptolix · 07 de Abril de 2012, 13:21

Diretamente nao sei como (talvez tenha, mas ...), mas ha uma soluçao de contorno simples pra isso, basta voce recolher dados das maquinas em dominio (no caso o mac) e configurar seu bind por mac list, para que ele so forneça ip pra quem estiver na mac list (que voce vai gerar a partir do samba).

Basicamente voce teria uma script para gerar a mac list no servidor samba e atualizar o arquivo para o bind sempre que necessario, e a configuraçao do bind para disponibilizar ip apenas para as maquinas com mac na mac list.

valdineysr · 09 de Abril de 2012, 08:37

Citação de: raidicar online 04 de Abril de 2012, 15:10
É meu amigo...

Chefe tem cada uma...

Se o seu chefe disse que o W2003 fazia isso... Então com certeza não fazia. Se alguém souber, por favor, digam como que quero saber também.

O Dhcp não está relacionado ao domínio e pronto, por isso ele vai enviar IP para quem pedir.

Pense bem e veja o fluxo:
1 - Para uma maquina logar no domínio, ela precisa se comunicar com o domínio, certo?
2 - Para se comunicar com o domínio ela precisa de um IP, certo?
3 - Para ter um IP é preciso recebe-lo do Dhcp.
Sem um IP, como o micro vai se comunicar com o domínio e por fim, se autenticar.
Fluxo: Micro recebe IP / Se comunica e autentica no Domínio / Trabalha na rede.

O fluxo da magia proposto pelo seu chefe é:
1 - A maquina se comunica por "magica" com o domínio, por que a mesma não tem IP e a placa de rede está desconfigurada.
2 - A maquina por "magia negra" se autentica no domínio. Incrível.
3 - Depois a maquina recebe o IP para se comunicar e trabalhar.
4 - Depois disso, a o servidor faz o almoço e o micro faz massagem.
Nossos chefes aprontam cada uma.
Quero muito estar errado e que de alguma forma esse fluxo possa funcionar. Se alguém souber como, por favor, respondam que seria algo muito interessante de se implantar.

valdineysr, brincadeiras a parte, podemos estabelecer uma relação de confiança entre os clientes e os servidores e permitir que os clientes que estão autenticados possam se comunicar com os servidores, excluindo essas maquinas do domínio, mas é complicado exclui-las da rede. Pode fazer algo se os equipamentos de rede forem gerenciáveis e bloquear a porta do Switch cujo micro não esteja logado no domínio ou criar uma rota em um roteador onde bloqueia-se o IP do dito cujo, restringindo o acesso a grande parte da rede. Mas isso é feito por uma combinação de scripts/switch gerenciáveis ou roteador.

Se a rede é pequena, pode amarrar o mac ao ip liberando apenas os micros de confiança, aumenta a segurança mas isso não impede que o micro sem domínio entre na rede.

Boa sorte na tentativa de implantar algo, mas não sei como ajudar a fazer com que o S.O faça isso e acredito que o seu chefe está 100% enganado com essa informação, a menos que o IPsec tenha algum recurso maluco que faça isso, mas o mesmo precisa se comunicar com o cliente e por isso o cliente tem de ter IP.

Vou acompanhar o post para ver se algo interessante aparece.

Att,

Quando ele disse isso também fiquei meio tipo: como assim?

. Mas como não tinha absoluta certeza resolvi colocar esse post aqui. Acredito que o único propósito mesmo dele é embargar o linux que já funciona na rede. Já havia reportado isso ao zekkerj em outro post, cuja a resposta foi: que chances eu tenho? verdade.

O motivo é pura cisma. Não vejo problema em usar windows já que na ponta também é. O problema é que a cada mudança de governo mudam a exigências e implementar soluções encima do windows normalmente são pagas e nem todo o governo quer pagar. Por isso prefiro linux nesse ponto.

jvera · 10 de Março de 2017, 11:15

Pessoal,

vai precisar do server RADIUS também e pelo que testei só funciona com autenticação de usuário e não de máquina.

algém saber como autenticar a máquina linux no AD? não é inserir no dominio, é depois de inserido ela se comportar como uma máquina windows que troca autenticação kerberos no AD.

Obrigado!

zekkerj · 10 de Março de 2017, 11:37

Olá @jvera,
Este tópico não recebia respostas desde 2012. Muita coisa mudou desde lá, até mesmo na participação dos usuários no fórum.