Как можно ограничить доступ некоторых пользователей к определённым сегментам сети?

Question

[Игорь С]

Салют товарищи!
Есть у меня проблема следующего характера:
В офисе есть как проводная, так и беспроводная сеть (не всем сотрудникам хватает розеток) и есть некоторое количество серверов. Сотрудники находятся в одном сегменте сети, сервера в другом (точнее в нескольких, в зависимости от "рода деятельности"). Есть сервера с базами данных, на которых создана одна общая учётная запись, под которой производится доработка базы. Подключаются сотрудники к базе по сети на прямую (то есть на порт, который слушает база)
И вот в чём проблема: Когда увольняется сотрудник, приходится менять пароль на wifi и менять пароль для общей учётной записи в БД (что весьма болезненно).
Подскажите, есть ли какие-либо технологии, позволяющие управлять доступом к определённым сегментам сети.
На данный момент мне была предложена весьма необычная идея, давать доступ к закрытым ресурсам только через VPN. Но мне кажется это глупо, пришёл сотрудник в офис, подключился к офисной сети, но для того, что бы работать, должен ещё подключиться к VPN внутри офиса.
Были ещё предложения по AD, но у нас инфраструктура преимущественно на Linux

Comments

[ТыжСисАдмин]

От чего конкретно вы желаете защититься?

[Игорь С]

Алексей POS_troi: От уволеных сотрудников, у которых остались пароли от wifi и от учётных записей в базах данных. То есть, сотрудник, теоретически, может приехать к офису, подключиться к wifi и получить доступ к базе. И если пароль от Wifi ещё можно поменять, либо настроить RADIUS, для авторизации, то, от такой ситуации, когда сотруднику уже нужно ограничить доступ, но он ещё находится на рабочем месте, я не представляю как защититься

Answer 1

[Rsa97]

Ну, контроллер AD можно и на Samba4 поднять. К базе у каждого должен быть свои логин/пароль, с соответствующими правами доступа. Авторизацию на WiFi можно настроить из AD или OpenLDAP.

Comments

[Игорь С]

Благодарю за ответ, тут есть проблема в том, что базы для разработки, и разрабатывать приложение можно только под определённым пользователем\схемой, тут долго объяснять, но суть в том, что "нельзя простак взять" и создать для каждого разработчика по отдельному пользователю.

Answer 2

[kolupalkin]

ipfw настройка доступа по mac устройства

Answer 3

[Макс]

подумайте о 802.1x - пользователь будет авторизовываться до получения доступа к сети, на основании прав помещаться в тот или иной VLAN.

Comments

[blackbeard]

не всем сотрудникам хватает розеток

Кажись, у них бюджет не ахти) Могу предположить, что железка на уровне доступа не самая "модная" и не поддерживает эту технологию.

[Игорь С]

blackbeard: Не совсем так, просто когда проектировали и прокладывали сеть (лет 6 назад) не учли что колличество сотрудников увеличится почти в 2 раза.

[Игорь С]

Идея с 802.1Х мне очень понравилась, но у нас инфраструктура посторена на mikrotik, и я как-то, не могу найти внятного описания, как это можно применить :(

[Макс]

Игорь С: Для беспроводных, на сколько я понимаю, в микротике реализовано wiki.mikrotik.com/wiki/Manual:Interface/Wireless#W...

[Макс]

blackbeard: Вы не поверите, но стоимость вменяемого коммутатора зачастую равна стоимости 3-4 розеток. Это если от серверной/коммутационной не 3 метра и тянуть не самим.