Как можно ограничить доступ некоторых пользователей к определённым сегментам сети?
Салют товарищи!
Есть у меня проблема следующего характера:
В офисе есть как проводная, так и беспроводная сеть (не всем сотрудникам хватает розеток) и есть некоторое количество серверов. Сотрудники находятся в одном сегменте сети, сервера в другом (точнее в нескольких, в зависимости от "рода деятельности"). Есть сервера с базами данных, на которых создана одна общая учётная запись, под которой производится доработка базы. Подключаются сотрудники к базе по сети на прямую (то есть на порт, который слушает база)
И вот в чём проблема: Когда увольняется сотрудник, приходится менять пароль на wifi и менять пароль для общей учётной записи в БД (что весьма болезненно).
Подскажите, есть ли какие-либо технологии, позволяющие управлять доступом к определённым сегментам сети.
На данный момент мне была предложена весьма необычная идея, давать доступ к закрытым ресурсам только через VPN. Но мне кажется это глупо, пришёл сотрудник в офис, подключился к офисной сети, но для того, что бы работать, должен ещё подключиться к VPN внутри офиса.
Были ещё предложения по AD, но у нас инфраструктура преимущественно на Linux
Алексей POS_troi: От уволеных сотрудников, у которых остались пароли от wifi и от учётных записей в базах данных. То есть, сотрудник, теоретически, может приехать к офису, подключиться к wifi и получить доступ к базе. И если пароль от Wifi ещё можно поменять, либо настроить RADIUS, для авторизации, то, от такой ситуации, когда сотруднику уже нужно ограничить доступ, но он ещё находится на рабочем месте, я не представляю как защититься
Для правильного вопроса надо знать половину ответа
Ну, контроллер AD можно и на Samba4 поднять. К базе у каждого должен быть свои логин/пароль, с соответствующими правами доступа. Авторизацию на WiFi можно настроить из AD или OpenLDAP.
Благодарю за ответ, тут есть проблема в том, что базы для разработки, и разрабатывать приложение можно только под определённым пользователем\схемой, тут долго объяснять, но суть в том, что "нельзя простак взять" и создать для каждого разработчика по отдельному пользователю.
Идея с 802.1Х мне очень понравилась, но у нас инфраструктура посторена на mikrotik, и я как-то, не могу найти внятного описания, как это можно применить :(
blackbeard: Вы не поверите, но стоимость вменяемого коммутатора зачастую равна стоимости 3-4 розеток. Это если от серверной/коммутационной не 3 метра и тянуть не самим.
