Автоматизація доступу до каналів комп'ютерних мереж
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
Після цього, слід ввести пароль адміністратора домена.
Спостерігалися проблеми з samba 2.2.4 і реєстрацією в нашому домене - саме тому була поставлена версія 2.2.6 з портів.
Далі можна запустити nmbd (/usr/local/sbin/nmbd -D) краще з включеним дебагом (-d9) і подивитися в балку-файл, що мережа нормально видно.
Далі можна сміливо пускати winbindd (/usr/local/sbin/winbindd -d9) - теж з дебагом і подивитися як він себе "відчуває" в нашій мережі. Опісля зразково секунд 10, можна перевірити а чи запустився winbind і чи функціонує він.
Для взаємодії з winbind служить команда wbinfo. Перевірити чи "бачить" вона winbindd взагалі можна командою wbinfio -p. Якщо вона відповість: ping to winbindd succeeded, то означає все гаразд. Інакше треба дивитися в балку-файл winbindd і розуміти чому він не запустився. (Насправді запускається він завжди, та ось на запити відповідає тільки якщо правильно бачить мережа). Далі можна спробувати перевірити а чи бачить winbindd сервер з паролями користувачів (wbinfo -t). Сервер повинен сказати "Secret is good". І, нарешті, можна спробувати авторизуватися з UNIX в Wondows домен:
wbinfo -a пользователеь_домена%пароль.
Якщо користувач авторизувався, буде видано:
plaintext password authentication succeeded
error code was NT_STATUS_OK (0x0)
challenge/response password authentication succeeded
error code was NT_STATUS_OK (0x0)
Якщо неправильний пароль, то:
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Could not authenticate user dmn%doct with plaintext password
challenge/response password authentication faile
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Could not authenticate user dmn with challenge/response
Все це означає, що модуль wbinfo нарешті настроєний і правильно функціонує. Можна приступати до налаштування SQUID.
Тепер потрібно набудувати SQUID.
Спершу, потрібно відзначити, що NTLM схему підтримує SQUID, починаючи з версії 2.5. Тому я викачав версію 2.5.PRE13.
Далі, SQUID потрібно скомпілювати з підтримкою схем авторизації і модулем:
winbind../configure -enable-auth="ntlm,basic" \
--enable-basic-auth-helpers="winbind"\
--enable-ntlm-auth-helpers="winbind"
Тепер можна перевірити а чи розуміє SQUID-овский авторизатор winbind. Для цього потрібно запустити:
/usr/local/squid/libexec/wb_auth -d
І ввести уручну імя пароль (через пропуск).
Якщо все працює коректно, то програма видасть:
/wb_auth[91945](wb_basic_auth.c:129): Got Dmn XXXXX from squid (length: 10).
/wb_auth[91945](wb_basic_auth.c:55): winbindd result: 0
/wb_auth[91945](wb_basic_auth.c:58): sending OK to squid
Після цього, потрібно набудувати squid, щоб він коректно працював на основі IP-авторизації.
Тепер залишилося підключити авторизацію до SQUID. Для цього в конфиге SQUID потрібно описати в схеми авторизації через winbind:
auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutesauth_param basic program /usr/local/squid/libexec/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
Причому важливо щоб NTLM авторизація йшла першою, інакше застосовуватиметься авторизація basic і IE питатиме пароль.
Далі потрібно зробити соответсвующую ACL і параметр доступу. Важливо, щоб це йшло після опису авторизацій.
acl myusers proxy_auth REQUIRED
http_access allow myusers
http_access deny all
Тепер залишається запустити SQUID і все перевірити.
Що має бути:
Якщо користувач авторизувався в домені, то IE не запитає пароль, а пойдетт відразу в Інтернет. Причому, в лог-файле SQUID буде безцінна інформація, а хто це був:
1032943720.839 180 10.128.36.5 TCP_CLIENT_REFRESH_MISS/200 1280 GET
Тобто Це був користувач dmn з домена work.
Якщо користувач не авторизувався в домені - його запитають логін і пароль. Якщо він введе логін\пароль такій же, як при вході в домен, то його пустять в Інтернет.
Якщо користувач користується не IE (наприклад, Mozilla, Netscape, Opera), він буде повинен набрати свій логін і пароль для авторизації в Windows.
Якщо аккаунт в Windows-домене закритий, то і доступ в Інтернет буде закритий.
4.3 Практичні рекомендації щодо забезпечення доступу до каналів компютерної мережі підприємства
Сукупність засобів і правил обміну інформацією утворюють інформаційну систему (ІС) підприємства. Забезпечення доступу співробітників підприємства до ресурсів інформаційної системи є інформаційною підтримкою їх діяльності. Керівництво будь-якого підприємства прагнути забезпечити безперервність інформаційної підтримки своєї діяльності а, отже, постійно ставить і вирішує завдання захисту власної інформаційної системи.
Засобом забезпечення інформаційної підтримки підприємства в переважній більшості випадків є його компютерна мережа. Такі засоби, як голосова телефонія і радіозвязок, факс і традиційна пошта не розглядаються нами окремо від компютерних мереж, оскільки можливості зловмисника, що використовує тільки ці засоби без залучення компютерних технологій, сильно обмежені. Крім того, захист голосової інформації, факсних і поштових відправлень, забезпечується інженерно-технічними засобами і організаційними заходами. Застосування тільки цих засобів і мерів для захисту компютерних мереж явно недостатньо у звязку з особливостями побудови мереж цього класу. Далі ми розглянемо особливості побудови компютерних мереж як засоби інформаційної підтримки підприємства, деякі, відомі уразливості компютерних мереж і рекомендації по їх усуненню.
Особливості архітектури компютерних мереж описані семирівневою моделлю взаємодії відкритих систем (Open Systems Interconnection, OSI), розроблена Міжнародним комітетом із стандартизації ISO (найчастіше використовується скороч?/p>