- Toto téma obsahuje 15 odpovedí, 6 hlasov, a bola naposledny upravená pred 10 years, 8 months od
.
-
Príspevky
-
Zdravicko… Potreboval by som nastavit aby sa kazdy uzivatelsky ucet prihlasoval k inej wifi sieti. Nevie niekto nahodou ci je to mozne?
Situacia:
V MacMini mam ucet Administrator a ucet Hostia.
V priestore mam rozdelnu wifi siet pre zamestnancov a hosti.Ked robime vo firme nejaku prezentaciu, tak potrebujeme pristup k zamestnaneckej sieti so vsetkymi zariadeniami, ktore su k nej pripojne.
Ked prezentacnu miestnost vyuziva ktokolvek iny, tak by nemal mat pristup k nasim zariadeniam a vobec ich ani vidiet na sieti.Ako docielim to, ze jeden ucet si bude pamatat heslo k jednej sieti a druhy ucet iba k tej druhej?
Momentalne ked sa ako admin prihlasim do hlavnej siete, tak sa tam automaticky prihlasi aj ucet pre hosti.
Mam MacMini 2014 a OS X Yosemite.
Tak takéto riešenie som ešte nevidel. Snáď by malo byť sieťové pripojenie rovnaké, od toho sú používateľské účty aby sa nedostali napríklad ku zdieľaným priečinkom, alebo sa mýlim?
uzivatelske ucty su od toho, aby si navzajom nevideli/needitovali obsah na disku. Ale ja okrem obsahu na disku potrebujem chranit aj obsah na sieti. Proste potrebujem zabranit tomu aby nepovolane osoby smejdili po sieti, kde je kopec pocitacov a zalohovacie zariadenie s dovernymi informaciami.
Medzi casom som ale asi prisiel na riesienie… Rozdelim disk a nainstalujem dva operacne systemy.
Ale veď užívateľské účty sú práve od toho aby okrem lokálneho disku nemohol liezť aj do sieťových diskov, predsa keď na serveri nastavíš prístup pre konto príklad admin/pass a vypneš guesta alebo iného používateľa nedostane sa tam (pre protkoly SMB, AFP, FTP. prípadne inú sieť ) a pokiaľ potrebuješ riešiť prístup do internetu treba zabezpečiť cez proxy server a prístupvé meno a heslo, prípadne na firewalle zabezpečiť časový prístup pre IP alebo MAC adresu…web filter a pod.
ako ked sa bavime o dost velkej security pre vacsiu firmu, tak naozaj nechcu hocikoho aby sa im pripajal na internu siet. dokonca casto byva ze na siet poprepajnu ethernet kablom sa clovek z (lubovolnej) wifi nedostane vobec a vsetko sa riesi len kablom.
ked je interna siet ktora je postavena na wifi ale je tam taka security poziadavka, tak interna siet by si zasluzila aspon WPA2 enterprise a na tu public by mal byt iny SSID, to aj small business routers podporuju vacsinou.
onlineman nemaj ruzove okuliare ked je firma nie moc velka a amin pristup aspon na svoj pocitac ma kde kto s heslom nbu123 a podbne… radsej tam proste nikoho z vonku nepustit a nazdar? to uvazovanie je spravne
babo máš pravdu :) ale nevieme aká je tá sieť a čo všetko nemá vidieť :) a asi by som to riesšil úplne iným PC. a zase nerobím si ilúzie že na Slovensku je niekde taká veľká firemená sieť aby používali mac-y :) zrejme pôjde o nejakú predajňu s výstavným macom a majú sa dostať niekde na zdiaľaný server
Takych firiem co maju toto riesene je viacej.
Drevoplech napis mi na hispa zavinac hispa sk a poriesime to takto kedze sa jedna o nejaku bezpecnost.
Ale v podstate viac menej maju pravdu vsetci v diskusii ale tu svoju. Riesit sa to da a ako vzdy je to otazkou financii. Jednoduche riesenie je dva wifi routre a kazdy za sebou svoju vlastnu siet. Ak sa admin prihlasi do oboch sieti pocitac si ju zapamata a admin je vyrieseny. Quest user sa prihlasi iba do wifi pre hosti a pokial nik nepouzije pod quest uctom ( admin a user poznajuci heslo k wifi firemnej) firemnu wifi tak quest by mal poznat iba firemnu alee to je len moj dohad. Toto treba preverit a dnes sa mi uz nechce vytvarat uzivatela na mac prostredicobain zartujes? ved si to skus na macbook voci klasickemu wpa2 personal… pripojoji sa admin na wifi a potom ju uz lobovolny user na pocitaci… inak by tu autor threadu nepisal nic…
wpa2 enterprise to ale vie vyriesit a staci na to router za 180 eur
ja si myslím že na to netreba ani router za 180€ ale stačí mikrotik za 80€. Ten nakonfigurujes ako potrebuješ a dokonca mozes tie dve siete fyzicky od seba oddelit.
Toto je nevýhoda toho macu že nastavenia siete sa zdieľajú medzi užívateľmi. Taktiež som riešil VPN a potreboval som aby sa to vpn nezobrazovalo iným užívateľom jedine riešenie nainštalovať aplikáciu tretej strany.Presne ako hovori Madaraszko, moj problem je v tom, ze nastavenia siete sa zdielaju medzi uzivatelmi. Kde sa prihlasi admin, tam sa prihlasi aj iny ucet.
Vo firme je router, ktory pouziva 2 rozne SSID (zamestnanci a hostia).
V zasadacke budu tento MAC pouzivat na prezentacie zamestnanci nasej firmy, ale aj firiem ostatnych. Pre tie ostatne firmy chcem pouzit SSID „hostia“ aby nikoho ani len nenapadlo z dlhej chvile scanovat zariadenia na nasej sieti, odchytavat trafic alebo skusat prelomit hesla.Proste chcem co najviac zamedzit moznym utokom nastavenim najvyssej moznej bezpecnosti.
Ako som pisal vyssie, vyriesil som to momentalne rozdelenim disku a nainstalovanim dvoch operacnych systemov. Co mi ale este robi vrasky, ze pouzivatelia si nevedia pohodlne vybrat ktory disk sa ma nabootovat. Skusal som nejake aplikacie typu Boot Selektor, ale bud to vobec nefungovalo, alebo to malo moznost prepinat iba medzi OS X/Windows/Linux. Nenasiel som nic s moznostou prepinania dvoch OS Xov. Takze zatial je iba moznost drzat Alt pri zapinani PC.
Zatial vdaka za rady a postrehy.
Drevoplech
mozes nainstalovat rEFIt. drzat OPTION je ale std funkcia urcena na to a vola sa Startup Manager.
na macu samozrejme mozes urobit co chces. vola sa to 802.1X configuration profile. ak mas nainstalovany osx server tak cez profile managera, ak nie tak cez apple configurator. https://itunes.apple.com/us/app/apple-configurator/id434433123?mt=12
samotne profily su dostupne v system preferences, network, advanced 802.1X. tieto profily su per user podla documentacie – „user-created 802.1X profiles only work under their own user context, and do not work for pre-login or system level network connections“
Super… Vyskusam a dam vediet ako som pochodil. Vdaka
a ten rEFIt som skusal, ale nedava moznost nastavit bootovanie dvoch MAC OS. Mozem tam vybrat MAC OS, Windows a Linux. Na kazde je jedna kolonka.
btw: ak to naozaj myslis vazne s bezpecnostou tak wifi tam nepatri. ak je wifi NAOZAJ potrebna (automatizovany sklad, alebo barcode readers pre skladnikov, alebo ine podobne dovody, potom sa to riesi samostatnym perimetrom mimo corporatny network, wifi overovane cez radius server (co bobo hovoril vyssie) a z tohoto „slepeho“ segmentu potom VPN k vam dovnutra.
aj ked samotne WPA/WPA2+AES je stale povazovane za nezlomene (v hre je iba brute force), vzdy je tu skryty rozmer vlastneho FW v samotnom AP (obzvlast od vyrobcov spotrebnej elektroniky).
((nehovoriac o zneuziti ukradnuteho notebooku a podobne))
pozri si tiez http://en.wikipedia.org/wiki/IEEE_802.1X . nech to zneje akokolvek „velko“ a „korporatne“, vies to spravit zdarma (aj na windows server based network, aj mac based).
v tvojom pripade by si iba na clientske pc hodil certifikat, ktory by zabezpecoval kryptovanie tcp/udp paketov. na serveroch by si zakazal nesifrovane tcp/ip (ak nemas windows domenu tak jednoducho cez local policy editor) a clientov by si nechal schopnych aj nesifrovaneho spojenia.
v tvojom pripade by si elegantne (a naozaj bezpecne) vyriesil vsetky tvoje obavy a problemy (pretoze by si prakticky hocikoho mohol pustit kludne aj do lan). nemusel by si segmentovat, tahat kable, alebo kupovat routre, trapit sa s perimetrami a podobne.
ak by niekto aj odchytaval pakety, okrem ip framov by uz videl iba seno sifrovane privat/public parom klucov (certifikat). toto je LAN/WLAN nezavisle, pakety su enkapsulovane na nizsej vrstve (IP Layer3 tusim).
Tu az tak do extremov zachadzat netreba… Nie je tam domena, ani ziadny server. Iba pocitace a Synology. Wifi je potrebne hlavne pre klientov aby sa v pripade potreby dokazali pripojit ku svojim cloudovym sluzbam, emailom atd pocas rokovani.
Teraz v novej zasadacke je mac mini a 4k televizor (z prestyzovych dovodov). Ten mac by mal byt pripojeny na firemnu siet aby sa prezentujuci dokazal svizne pripojit po sieti k datam na synology, resp. v inom zariadeni na sieti. Druhy uzivatelsky ucet na Macu bude vyuzivat susedna firma, ktora na nasej firemnej sieti nema co hladat.
Pre tento ucel mi bude bohate stacit profil 802.1x. Vcera som to skusal na macbooku a vyzera to tak, ze to naozaj funguje celkom dobre…
Takze dikes mk01, pomohol si mi.
- Musíte byť prihlásený, aby ste mohli odpovedať na túto tému.