Felhasználóazonosítás "nyitott" hálózaton

 ( drukka | 2014. november 16., vasárnap - 1:08 )

Adott egy általános iskolai hálózat: asztali gépek, laptopok, wi-fi. Túl sok szolgáltatás szerencsére nincs, de ami feltétlenül kell:
- internet (tartalomszűrő)
- dokumentumcserélgetésre néhány megosztott mappa egy ősrégi fájlszerveren és egy NAS-on. (Néhány mappa jelszóval védett.)
- e-napló egy külön windows 2008 szerveren. Ez egy megosztott mappában van, amit hálózati meghajtónak csatoltunk fel néhány kijelölt gépre. A többség a webes felületét használja a programnak.

Amin nem változtathatok:
1. Gyakorlatilag minden gépen rendszergazda jogokkal rendelkezik mindenki.
- A tanári laptopokat otthon is használják, telepítenek, stb.
- A tananyag miatt a tanulói gépeken is kell a rendszergazda jog, mert egy csomó mindent kipróbálnak.
- A vendégek (gyakran jönnek) hozzák a saját készülékeiket. Laptop, telefon...

2. A wi-fi "mindenki által ismert jelszóval védett", tehát az utcáról csak azok nem neteznek, akiknek nincs bent ismerősük.

A Zentyal szerver, amit szabadon konfigurálhatok. (DHCP szerver, átjáró, tartalomszűrő, fájlmegosztás)

Milyen módszert javasoltok, hogy a felhasználókat valahogy azonosítani tudjam (pl. egy-egy kiosztott kóddal) és az interneteléréshez kapott jogaikat (tartalomszűrő, sávszélesség, prioritás) ne tudják módosítani?
Tehát a tanuló sehogy ne kerülje meg a tartalomszűrőt. A vendég se szakadjon le a hálózatról azért, mert éppen informatika óra van, de a saját torrent listája vagy akár csak a levelezése se kerüljön az iskolatitkár határidős levelezése elé. Tartalomszűrő meg főleg ne legyen a vendég gépén, még akkor se, ha iskolai géphez ültetik.

A kliensekre telepített akármilyen alkalmazás kizárt, hiszen a gépeknek csak egy része a saját iskolai eszköz. (A rendszergazda jogok miatt ez egyébként sem lenne sikeres.)

A módszernek - felhasználói oldalról - a legegyszerűbbnek kell lennie, mert a felhasználók semmit sem fognak állítgatni a gépükön az iskolai és az otthoni hálózat közötti váltáskor (Pl. böngészőben proxy-t)
Az alsó tagozatos tanulók pedig most kezdik tanulni, tehát tényleg a legegyszerűbb módszer kell.

Ha egy ilyen "nagyon egyszerű" rendszer nem megvalósítható, akkor az érdekelne, hogy hasonló helyzetben milyen kompromisszumos megoldások születtek? Hogyan oldjátok meg a kötelező, de a dolgozók/vendégek munkáját nem hátráltató tartalomszűrést úgy, hogy mindenkinek jut/kell net? És biztonságban vannak a megosztott mappákban tárolt adatok... stb...

Köszönöm:
Gyuri

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Az 1-es pont mindenféle további fölöslegessé tesz. Amit tehetsz, hogy csak ismert MAC-nek osztasz címet dhcp-vel, de ezt übermacera karbantartani. Amit még lehet, az egy transparens proxy, de a torrentet (még akkor is ha alapvetően teljesen legális a felhasználás) azt alapból port szinten tiltanám egy iskolában, hagyják otthonra. A Wi-Fi-nél megoldható egy külön vendéghálózat, ha megfelelő AP-id vannak vagy van elég, hogy duplázz. Ha van elég publikus IP címed, akkor relatív tudod szeparálni is a forgalmat.

Szerk: Ami kimaradt, kimenő 25-ös port tiltása.

Tehát marad a DHCP és a MAC címek gyűjtögetése...

WLAN-okat kellene bevezetni. Van iilyen router, switch?

mármint VLAN-ra gondolsz.

Igen, reggel volt még:)

A legegyszerűbb és legolcsóbb készülékek vannak "összedugdosva". switch -> néhány gép -> switch -> wi-fi AP + néhány gép -> switch.. stb.
Örülök, hogy a hálózat legvégén még van net.

A switchelt hálózatnál nem játszanak azok a jelterjedési / késleltetési-maximum előírások, mint amik sorbakapcsolt hub-oknál v. repeatereknél megvannak. Szóval egy (nagyrészt) switchelt hálózat teljesen jól működik attól még h. switchek vannak hosszasan sorbakötve.

Neked valoszinuleg egy "captive portal" kell (google megmondja mi az).
A diakok/tanarok egy resze garantaltan meg fogja tudni kerulni a tartalomszurest, hacsak nem tiltasz _mindent_ es transzparens proxy-t teszel be. De lehet meg akkor is :)
De szerintem kezdetnek jo. Bar azt nem ertem, hogy legalabb a dolgozok (tanarok) miert nem sajat felhasznaloi nevvel vannak azonositva.
A korabban javasolt VLAN-os szeparacio is hasznos a portal-on kivul, persze csak ha kepesek erre az eszkozeid.

---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Meg fogom nézni ezt is.
Azért nincs azonosítás sehol, mert minden, ami megbonyolítja a "rákattintok és működik" használatot az nem elfogadható. (+ eddig még nem történt baj.) Ha nem tudom úgy beállítani az iskolai gépeket, hogy ne kelljen azonosítót gépelni, akkor ezt nem tudom elfogadtatni...
A lényeg, hogy csak a tanulóknak és a vendégeknek legyen ilyen azonosítás.

Szerintem nagyon gyorsan el tudsz majd fogadtatni barmilyen azonosito gepelest amint a diakok a p**ci.net-et kezdik el bongeszni ora kozben :)
Virusvedelemrol meg szo sem volt, az mar csak hab a tortan mikor egymas gepeivel szorakoznak ora kozben.
En voltam r.gazda kozepiskolaban, nagyon kreativak a diakok.

---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Szerencsére a dansguardian jól működik, viszont elég egyetlen normális oldal téves tiltása... már nem is olyan jó barát a tartalomszűrő...

Ezért kell "kényelmesen" kikapcsolni azoknak, akiknek tényleg nem kell.

Gondolom jobb 1-1 teves tiltasba belefutni mint tul sok fedetlen testreszbe.
IP alapjan add hozza a tanari gepeket a kivetelhez, termeszetesen gondoskodj arrol, hogy mas gepek ne vehessek fel azt a cimet (static dhcp). De MAC alapjan is lehet szurni, azt talan picit nehezebben hamisitjak altalanosban. Ha meg kulon VLAN-ra teszed a tanarokat az meg jobb.

---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."