Mechanizm do centralnego zarządzania uprawnieniami użytkowników

Dystrybucja plików konfiguracyjnych @ **user00123123** | **01.07.2014**

1
4
94

Mam użytkowników: X, Y, Z.

X i Y są w zespole A, X i Z w zespole B.

Chciałbym zapewnić dostęp do usługi 1 dla użytkowników z zespołu A, a do usługi 2 dla użytkowników z zespołu B.

Brzmi trywialnie jak na razie.

Ale teraz szczegóły:

Każdy z użytkowników łączy się na kilka różnych sposobów - przez VPN, przez sieć Ethernet, przez Wi-Fi, czasami z różnych urządzeń, w tym mobilnych.
Dostęp do usług chcę ograniczać za pomocą Firewalla.

Czy są jakieś mechanizmy pozwalające na tego typu zarządzenia uprawnieniami?

Użytkowników mogę trzymać w LDAP. Tak samo zespoły mogę zdefiniować grupami w LDAP.

Ale jak powiązać w LDAP urządzenia (z różnymi systemami) plus VPN tak, by automatycznie jeszcze móc z tego konfigurować Radiusa celem autoryzacji 802.1x/WPA Enterprise i konfiguracją DHCP? Jak powiązać to z konfiguracją VPN (OpenVPN?). Najlepiej jeszcze, gdyby LDAP-em był Active Directory.

Zapytał
@ Andrzej_Dopierała | 09.04.2015
- lider
- laureat
- ekspert
- 83
- 65
- 169

Komentarze (2)

Nie bardzo rozumiem, w czym masz problem? Jak ma się relacja user, do tego przez co się łączy do dostęp do usługi? Z twojego pytania to nie wynika.

Skomentował : @ TRENER ALTKOM AKADEMII ,12.04.2015

Dla uproszczenia - użytkownik to osoba. Pracuje/jest w jakimś zespole. A zespół ma uprawnienia do usług. Osoba też może mieć uprawnienia do usług. Usługi z koleji definiowane są przez host/port. Albo kilka hostów/portów.

To prostsza część. Teraz - osoba może komputer - albo dwa. Albo 2 i smartfona/tablet. Każde z tych urządzeń może zostać wpiete do sieci (dhcp/8021.x), zautoryzować się w wifi (wpa enterprise), tudzież połączyć się jakimś vpnem. Więc za każdym razem ip będzie inny.

Użycie kerberosa/vaulta nie jest wystarczające - filtrowanie musi być realizowane warstwę niżej.

Skomentował : @ Andrzej_Dopierała ,29.07.2015

83
65
169

0

Powinien być jeden mechanizm, który identyfikuje użytkownika (może być to ticket kerberosowy), który musiałby być pobrany przez użytkownika, przed dostępem do konkretnej usługi, a wszystkie usługi, o których mówimy muszą mieć wsparcie Kerberosa - tak byłoby chyba najprościej.

Skomentuj

Odpowiedział
@ | 28.07.2015
TRENER MODERATOR ALTKOM AKADEMII

Pytanie