Author Topic: Не до конца понятна авторизация.  (Read 1917 times)

Kol

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Не до конца понятна авторизация.
« on: September 27, 2019, 10:26:36 am »
Не до конца понимаю авторизацию при регистрации члена объекта.
Т.е. при регистрации указывается имя (я так понимаю оно ни на что не влияет), далее указывается ip адрес члена (каким образом должен присваиваться адрес совершенно не понимаю). По желанию указывается Mac члена.
Далее еще "на пальцах", - подключенный в сеть компьютер получил по dhcp адрес который сервер упорно выдает один и тот же этой машине. Если я при регистрации члена укажу другой ip - машина не имеет доступ к сети интернет (создал такое правило в фильтации). Если указать присвоенный ip то естесственно все работает. Но может прийти момент и сервер посредством dhcp выдаст этой машине другой ip, и как быть в таком случае??? Регистрация только по Мac на сервере не предусмотрена.

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: Не до конца понятна авторизация.
« Reply #1 on: September 27, 2019, 02:19:02 pm »
Не ясно что вы делаете, что хотите сделать и что происходит по факту.

В локалке кто-то один должен выдавать адреса IP по DHCP, если только вы не назначаете их жёстко руками.
- Если этот кто-то является сервером zentyal то он умеет как динамичестки назначать так и статически присваивать определённый адрес основываясь на mac.
- Если этот кто-то не является сервером zentyal, а просто какое-то другое устройство (роутер) то какое к этому имеет отношение zentyal и что вы от него хотите?
- Если этих назначателей у вас в сети много то надо определиться и оставить один.

Kol

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: Не до конца понятна авторизация.
« Reply #2 on: September 27, 2019, 02:32:40 pm »
Речь идет именно о zentyal.
Quote
подключенный в сеть компьютер получил по dhcp адрес который сервер упорно выдает один и тот же этой машине. Если я при регистрации члена укажу другой ip - машина не имеет доступ к сети интернет (создал такое правило в фильтации). Если указать присвоенный ip то естесственно все работает. Но может прийти момент и сервер посредством dhcp выдаст этой машине другой ip, и как быть в таком случае???
вот основной вопрос.

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: Не до конца понятна авторизация.
« Reply #3 on: September 27, 2019, 02:41:56 pm »
Quote
Но может прийти момент и сервер посредством dhcp выдаст этой машине другой ip, и как быть в таком случае???
В таком случае надо создать сетевой объект и туда в качестве члена сетевого объекта записать эту машину с указанием её mac и нужного ip. В настройках DHCP для нужного интерфейса в секции фиксированных адресов добавляем созданный объект и все его члены автоматом будут получать тот ip который нужно.

Имена объектам и членам можете задавать какие хотите, это влияет только на ваше понимание того что это за объект или член объекта. Целью является описательный характер и увеличение порядка в структуре.

UPD: На всякий случай. Ловил баги, когда в разных местах одному члену присваивались разные ip. Увы это никак не контролируется, поэтому лучше продумать структуру создаваемых объектов, чтобы не запутаться.
« Last Edit: September 27, 2019, 02:43:37 pm by luha »

Kol

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: Не до конца понятна авторизация.
« Reply #4 on: September 28, 2019, 11:03:19 am »
Вот оказывается все как запущено... если я правильно понял... в таком случае DHCP нафиг не нужен (по крайней мере в том качестве в каком его обычно используют) раз приходится фиксировать IP?

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: Не до конца понятна авторизация.
« Reply #5 on: September 30, 2019, 10:31:28 am »
DHCP так и должен функционировать. Это его нормальная работа, а в зенчале даже чуть усовершенствовано объектами. Единственное мне приходилось править шаблоны чтобы добавить настройки для обслуживание виланов сети телефонии - нет возможности сделать это через интерфейс зенчала. А так практически идеально.

Если не приписан конкретный IP то из выбранного диапазона выдаётся динамический. Динамические адреса не сбрасываются сразу после отключения клиента. Есть период, который можно настраивать, в течении которого адрес автоматически останется зарезервированным. Настройте побольше дней и адреса практически никогда не поменяются. Однако я бы не советовал так делать если появляются залётные устройства вроде мобильников или ноутбуков т.к. их резервация не должна быть вечной. Кроме того для контроля и описания сети принято стационарные машины, такие как сервера, настраивать на статические адреса. Ещё могу порекомендовать выбирать нестандартный номер подсети и отодвигать диапазоны статических адресов от динамических - это поможет избежать коллизий при использовании таких сервисов как VPN.

Kol

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: Не до конца понятна авторизация.
« Reply #6 on: September 30, 2019, 10:53:55 am »
Следуя логике в работе других серверов тех же майкрософт - DHCP не несет прямой функции в назначении использования трафика клиентами, т.е. авторизация идет либо по паролю либо по маку либо по IP. Тут же завязано только по IP причем оставлена вероятность (если не резервировать) получения IP отличного от авторизации. В общем думаю, что мне этот продукт не подойдет... я слишком ленив :)
Спасибо за ответы.

luha

  • Zen Samurai
  • ****
  • Posts: 479
  • Karma: +36/-1
    • View Profile
Re: Не до конца понятна авторизация.
« Reply #7 on: September 30, 2019, 11:26:50 am »
Авторизация в любом случае происходит по паролю. IP или MAC адреса легко могут быть скомпромитированы и это никак не связано с DHCP. Сам же сервис DHCP как таковой имеет цель автоматизировать процесс настройки работы сети на стороне клиента путём передачи параметром, в которые входят не только адрес IP, но и адреса серверов имён, шлюза и прочее. IP в процессе авторизации участвует только как мера ограничения доступа.

Ну или я просто не понял что же вы на самом деле делаете и что хотите сделать.

Sand_man

  • Zen Samurai
  • ****
  • Posts: 280
  • Karma: +24/-0
    • View Profile
Re: Не до конца понятна авторизация.
« Reply #8 on: October 01, 2019, 05:19:15 pm »
Ну вот я тоже не понял, в чём проблема, честно говоря. Добавить в резервирование DHCP объект - 10 сек. Создать объект и натолкать туда машин - ну тут зависит от кол-ва, конечно. Что-то в голове не складывается, что ТС не так.