Организация авторизированного доступа к расшаренным папкам

[Dredd2000]

ValeriS, что за пароль? На доступ по сети или локально?

В теме осуждается вопрос блокирования входящих запросов на скачивание файлов с сервера из локальной сети без создания ftp.

На самом деле, как мне показалось, наиболее простое решение проблемы - установка firewall с соответсвующими настройками.

Однако для неспециалистов, я бы порекомендовал использование NTFS с какими-нибудь простенькими программками, которые обсуждались в теме!

 

[Dredd2000]

MrSender,
Всё это - работа с NTFS... вопрос же звучал =) А это походу невозможно.

Совершенно верно. Стандартные средства win 2k/XP не позволяют устанавливать пароли на папку.

 

[BlackDragon]

Если там у тебя перейдут на НТФС то денег надо куда меньше (и времени). поднять АД и вообще красота

 

[JIeXa]

Много полезного узнал после прочтения но есть вопрос:

Ситуация: Дом, живу в подвале с 2-мя компами. На верху хозяева с тремя. Все подключены к rooter. Rooter к модему.

Что надо: Оградить свои 2 компа от тех кто живет сверху. Firewall ZA работает но 80% программы не используются, да и компы слабоваты. Что можно по проще придумать?

В видовской подсказке присмотрел команду Ipseccmd кто нибудь знает как ей пользоваться?

Вот текст

Configures Internet Protocol Security (IPSec) policies in a directory service or in a local or remote registry.

For example to create a mirrored filter that permits traffic between the local IP address and the IP address 10.2.1.1, type:

(0+10.2.1.1)

 

[myafik]

JIeXa, Попробуй здесь почитать:

How to block specific network protocols and ports by using IPSec

Для просмотра ссылки Войди или Зарегистрируйся

 

[JIeXa]

Никогда эти мелкомягкие не могли понятный help писать. Два часа бился - не получается.

ipseccom /t или /f

Чем Тунель от Фильтра отличается. Мне надо чтобы только 192.168.2.104 и 192.168.2.106 друг друга видели.

 

[Niк]

то же

Уважаемые колеги, у меня та же ситуёвина.
Попробую после прочитанных всех постов обобщить положение.
Итак, есть фирма, работают люди и им нужно хранить свои файлы где-то в одном месте. Т.е. нужно сделать что-то типа общей папки, в которой размещены кучи папок с фамилиями (например) сотрудников. Желательно, чтобы каждый чел смог зайти только в свою папку и делать там что захочет, а в общей (родительской) ничего бы не смог, да и квотирование по папкам было бы очень кстати.
Имеются, допустим, компов 20, которые, кстати, стоят не у каждого работника. Отсюда следующее - имена папок могут не только не совпадать с именами компов, а их намного больше, т.е. фильтровать доступ по компам (ip) - отпадает. Да и если чел пересел за другой комп, то к своим файлам он уже не достучится.
Даже если есть домен с пользователями\паролями - всеравно не совсем изящно получится, ибо, как здесь уже писалось, можно поставить пароль на сетевую папку, но исходя из общего числа людей, таких папок нужно делать десятки. Я считаю, недостаток у такого подхода один - зайдешь на сервер, кликнешь по плюсику - и высыпятся 3 десятка сетевых папок, зато можно гибко всеразрулиь. Ага, еще одно - квотирование. С этим может быть проблемка.
Дальше. Вариант с ftp - очень классный, но, снова есть одно но, с ним работать нужно через web интерфейс, которого все начнут пугаться. Хотя можно и привыкнуть. Если никто ничего не посоветует дельног - придется приучать людей к ftp.
Слышал еще возгласы - что за вопросы по доступу к файлам NTFS? Здесь чуть-чуть по-другому - папки, да еще и сетевые. В идеале, наверное, должно быть так - с любого компа заходишь на сервер, там ОДНА сетевая папка, заходишь в нее - там куча пользовательских. Кликаешь по своей, вводишь пароль - и вперед. Добавить/удалить/изменить пользовательские папки чел не может.
Короче, я тут много всего понаписывал, может где-то и не то написал, не судите строго, но поправить можно, даже нужно.
Но суть проблемы, я думаю, можно уяснить - нужно сетевое хранилище данных с парольным доступом, по возможности попроще, все же
для наших обычных юзерей стараемся, а они не все хацкеры ;-)
Вот нарыл какую-то прогу на Wzore - SpaceGuard SRM 6.0 Build 1098 - вроде для организации квотирования, но, блин, никак не могу вьехать, как она работает. Может поможет кто знает. Ну и дельные советы, господа!

 

[BadFiles]

Вариант --
1. делаешь одну сетевыю папку на сервере с полным доступом на чтение -- запись
2. ставишь BestCrypt 7.12 Для просмотра ссылки Войди или Зарегистрируйся
3. делаешь каждому юсеру контейнер с паролем, выдаёшь пароль.
4. кидаешь все эти контейнеры в папку из п.1
5. на все компы организации ставишь вышеупомянутый BestCrypt

Таким образом
1. с любого компа любой юсер может подмонтировать свой контейнер с одному ему известным паролем
2. квота задана размером контейнера -- они не динамические
3. невозможно перехватить файлы по сети, каким бы протоколом не шла передача
4. юсеры не смогут убить ни свои, ни чужие контейнеры, ибо BestCrypt на сервере за ними бдит
5. ручками или автоматом пресекаются попытки пользователей писать в папку с контейнерами посторонние файлы

как ты понимаешь, тебе понадобится быстрый СТАБИЛЬНЫЙ сервер

всё это мои теоретические представления. если что получится -- намыль или наась, пожалуйста. можешь обращаться по любому вопросу.

[ADDED=BadFiles]1114714054[/ADDED]
да, и фрагментация исключена -- только внутри контейнеров

 

[Niк]

Слушай, это совсем неплохая идея! Единственное - всем поставить BestCrypt. А присутствие программы такого класса на пользовательских компах может повлечь за собой создание личных контейнеров и хранения личных (конфиденциальных, секретных - короче таких, которые не сможет проконтролировать руководство) данных, но, я думаю, оно стоит того и пользы будет куда больше, чем вреда.
СПАСИБО!
Если у кого есть еще варианты - выкладывайте, думаю тема актуальна.

 

[Z_G]

Если В XP не работают стандартные пароли на общие рессурсы - значит включен "простой" доступ к файлам . Делается енто через сервис - свойства папки(в окне проводника) - вкладка "Вид" - убираем галочку и подключаемся к сетевым рессурсам через пароль. Вот...естественно придется описывать юзверей которые могут доступ получать. Это работает и на FAT32

А вообще вопрос нужно ставить шире, с какой сетью например имеем дело, одноранговой? с доменом? служба каталогов? В Актив Директори есть например пользователь "компьтер" и здесь уже настраивается доступ именно компьютера а не учетной записи пользователя. Активно юзаем DFS и т.д. В маздае (серверном) есть всё, что нужно - остальное только для большего удобства и наглядности.

 

[BadFiles]

Ну что, Nik, как проблему то решил, интересно ведь.

 

[Niк]

Отвечаю. Пробывал я поиграть с BestCrypt - уж очень изящное решение, но есть несколько но:
- у меня пользователи все входят в системы с правами пользователей, может поэтому когда монтируешь диск система ругается (долго не копался - еще копаюсь)
- под админскими правами контейнер монтируется - все ок, но чтобы его отключить, не перезагружая системы - нужно провести операцию размонтировки пару-тройку раз, только после чего контейнер отключается (странно почему так, может оттого что он сетевой)
Ну, а поскольку меня уже додавили сверху, то поставил я ftp сервер. Там конечно красота - можно разрулить все что угодно и как нужно. Но есть пара ньюансов:
- круглые глаза пользователей, когда они слышат стова СТРОКА АДРЕСА В ПРОВОДНИКЕ, НАБРАТЬ Для просмотра ссылки Войди или Зарегистрируйся (но привыкают потихоньку)
- 2й довод посерйознее - пользователь зашел к себе в папку, увидел файл wordа, тыць на нем - загружается explorer, который силится его показать, но это же не ворд!
- и еще, как бы сделать так, чтобы ярлык, созданный на рабочем столе и указывающий на ftp, открывался по умолчанию не IE, а проводником.
Короче, везде есть свои грабли.
У кого еще есть варианты?

[ADDED=Niк]1118133075[/ADDED]
Отвечаю. Пробывал я поиграть с BestCrypt - уж очень изящное решение, но есть несколько но:
- у меня пользователи все входят в системы с правами пользователей, может поэтому когда монтируешь диск система ругается (долго не копался - еще копаюсь)
- под админскими правами контейнер монтируется - все ок, но чтобы его отключить, не перезагружая системы - нужно провести операцию размонтировки пару-тройку раз, только после чего контейнер отключается (странно почему так, может оттого что он сетевой)
Ну, а поскольку меня уже додавили сверху, то поставил я ftp сервер. Там конечно красота - можно разрулить все что угодно и как нужно. Но есть пара ньюансов:
- круглые глаза пользователей, когда они слышат стова СТРОКА АДРЕСА В ПРОВОДНИКЕ, НАБРАТЬ Для просмотра ссылки Войди или Зарегистрируйся (но привыкают потихоньку)
- 2й довод посерйознее - пользователь зашел к себе в папку, увидел файл wordа, тыць на нем - загружается explorer, который силится его показать, но это же не ворд!
- и еще, как бы сделать так, чтобы ярлык, созданный на рабочем столе и указывающий на ftp, открывался по умолчанию не IE, а проводником.
Короче, везде есть свои грабли.
У кого еще есть варианты?

 

[yuri]

Niк, ставь файловый сервер, рекомендую Novell Netware 5.
Плюсы:
-У каждого пользователя своя папка + общая папка, подключаются как диск. Он даже чужие может не видеть, только свою.
-Квоты на дисковое пространство
-Понятность и прозрачность для пользователей т.е. они могут тыкать на свои файлы и откроется то что нужно.
-Настроил и забыл
Минусы:
-Netware - это выделенный сервер, придется отдать один комп, впоследствии можно оставить только системный блок, без монитора, мыши и клавы
-Придется изучить незнакомую систему
-Установить клиента Netware на все компы
Это я всё написал, если сетка одноранговая и нет привязки к имеющимся серверам

 

[Niк]

мда, как всегда грабли...
- один комп у руководителя выбить просто на то, чтобы у всех было куда чего-то спрятать - не думаю, что получится легко;
- устанавливать клиента на все компы - тоже не оч. удобно;
- а если в сети все заморочки - типа АД, серверов там всяких с dhcp и.т.д - как это скажется на работе?
- я так подозреваю, что в сети появится новый протокол. Чем больше протоколов - тем больше возни, загруженности сети и т.д. Хотя я может и не прав.

Люди, а может есть какие-то решения в Unix? Ну, поидее шлюзы стоят у всех на unix (linux, bsd....), может туда все это вынести? Хотя выносить достаточно важные данные на передний край (ну, типа взлом из интернета - не хотелось бы.
У меня пока на ftp все перелезли и пыхтят. Неудобно, но жить можно.
Спасибо.
Еще варианты.

 

[yuri]

Niк, предлагаю ещё один вариант, думаю он тебе понравится. Прочитай соседний пост http://dumpz.ws/showthread.php?t=18454, вот он файловый сервер, только вид сбоку.
Кстати Нетваре 5 может работать на голом tcp/ip, выбирается при установке, при установке клиента, тоже можно выбрать ip only.