[linux] Re: DHCP servers en ip ranges...

Za Jul 24 12:02:52 CEST 2010

Aldus schreef Robin van Leeuwen op Fri, Jul 23, 2010 at 12:25:58PM +0200:
> 
> Ik heb een netwerk waarbij er vaste computers zijn aangesloten met een wired
> netwerk.
> Daarnaast zijn er medewerkers die een laptop meenemen en die hebben wireless
> netwerk.
> Ook zijn er studenten die een laptop meenemen, of op een van de vaste
> computers werken.
> 
> Nu dient het als volgt te zijn: medewerkers hebben een vrije toegang tot het
> netwerk, studenten
> moeten verbinding maken via een proxy server.
> 
> Voor de vaste clients (alle XP) zijn er twee login accounts 'medewerker' en
> 'student' en op
> basis daarvan wordt al dan niet een proxy server ingesteld.
...
> IP adressen toewijzen op basis van MAC address zal niet gaan lukken omdat
> het verloop van
> studenten, en ook medewerkers (het is een stichting met veel vrijwilligers)
> groot is en dus
> die meegebrachte laptops vaak veranderen.

Zoals ik het zie is DHCP het probleem niet en zit het probleem ook meer
in het bedrade netwerk dan in de draadloze klantjes. Laten we aannemen
dat de medewerkers toegang krijgen tot vertrouwelijke informatie in
het 'groene' netwerk en dat de netwerken waar de clients (met studenten 
en medewerkers) zich bevinden in een DMZ (gedemilitariseerde zone) en 
dat ergens een route is naar het Internet (rode zone).

Onder Linux zou je gebruik kunnen maken van squid (proxy), apache (web
server), bind (DNS server), DHCPD, Samba (Windows NT Domain Controller),
OpenLDAP (gebruikers database), FreeRADIUS (aanmelding voor WiFi) en
iptables (firewall). 

Elke host die opkomt zou via DHCP een IP adres kunnen krijgen en
toegang tot het Linux doosje. 

Wanneer Gé Bruycker inlogt, wordt zijn wachtwoord gecontroleerd door de
LDAP server. 

Windows(TM) kent een feature genaamd Web Proxy Auto Detection.
Allereerst zal de browser via DNS of DHCP het IP adres van de WPAD
server achterhalen en daarvan een stukje JavaScript downloaden en
uitvoeren, dat de browser het IP adres en de poort van de proxy server
mededeelt.

Je zou in dat script een cgi-bin programma op de web server kunnen
aanroepen, dat de LDAP logs controleert of jouw account/IP adres is 
ingelogd en of het in de groepen 'domain admins' (beheerders), 
'power users' (medewerkers), 'users' (studenten) valt of een
onbetrouwbare onbekende is. 

Het CGI programma zou dan de geschikte opening in de firewall kunnen
prikken om je klant toegang te verlenen tot het 'groene' netwerk of
enkel tot het Internet. Een cron job zou dan periodiek moeten kijken
of de user nog is ingelogd en anders het gat weer dichten.

Zie ook het volgende voor een beetje JavaScript voor Windows:
	http://www.tek-tips.com/viewthread.cfm?qid=993311

Suc6,

Daniel.
-- 
	Denkend aan Holland zie ik bordjes met 'wij wisselen geen
	geld voor parkeermeter of telefooncel', terwijl je ook
	positief kunt denken: 'change? yes, we can!'