Доброго времени суток!
Имеем 2 сервера на Debian\Ubuntu:
1. VLAN-образующий, DHCP, маршрутизатор, Samba
2. LDAP, веб-сервер.
Клиенты разделены по подсетям посредством привязки MAC-adr к IP в настройках DHCP-сервера.
Нужно организовать авторизацию клиентов(Windows) посредством протокола Kerberos на сервере LDAP, после чего выдать им соответствующий IP исходя из учетных данных в базе LDAP и предоставить доступ к Samba.
До момента авторизации или в случае ошибки входа, нужно поместить клиентов в гостевую 192.168.127.0/24 подсеть, да еще так, чтобы не было возможности прописать ручками настройки IP и подключиться к закрытой подсети.
Кто что думает по этому вопросу? Буду признателен любой помощи!
Коллега, а как вы планируете делать авторизацию по Kerberos до выдачи адреса IP? Или вы планируете потом перевыдавать адрес (а если клиент на это не пойдёт, в том плане что dhcp client нужно "попросить" переполучить адрес, который ему выдали ранее)?
Если вам нужна секьюрная сеть, то возможно вам поможет 802.1Х + Radius, или авторизация самого DHCP (не уверен какие текущие версии такое могут кроме родного от MS).
По поводу "попросить" переполучить адрес не подумал.. До выдачи IP авторизация не нужна, DHCP сам должен выдать "гостевой" IP, а после авторизации пересадить в нужную подсеть.
Возможно ли при авторизации в Windows по учетной записи и паролю, передавать эти данные через Kerberos серверу авторизации?
А как в типичном случае выглядит авторизация по протоколу Kerberos на Windows-машинах?