Защищенное хранилище файлов (pptpd + samba)

[Bio]

Сперва расскажу идею. Начальству понадобилось соорудить закрытую шару, для каких - то начальственных документов. Чтобы рядовой сотрудник никак не смог попасть туда, но чтобы начальнег мог с любой включенной машины (независимо от аутентификации в домене), введя свой логин-пароль попасть на эту секретную шару. Идея, думаю понятна.

Я придумал это сделать так:
-ставим pptpd,
-настраиваем vpn
-разрешаем самбе подключения только через ppp0, ppp1 и т.д. интерфейсы
-настраиваем логины и пароли

Проблема в следующем. При указании в опции interfaces = ppp0, ppp1... (или ещё ppp* можно) и bind interfaces only = yes самба вообще никак не пускает на себя. при удалении этих опций - всё ок, но она пускает как через vpn так и просто через сеть.

Вопрос 1 - как закрыть доступ к самбе через eth0, но оставить открытым через ppp0, ppp1, ppp2.... pppN интерфейсы (pptpd создает для каждого туннеля ppp интерфейс).

Вопрос 2 - Может можно реализовать это как то по-другому?

[Lion-Simba]

1) Фаерволом? man iptables.

2) А если просто создать на сервере с самбой отдельного секретного юзверя с секретным паролем и прописать его для секретной шары? Самба будет спрашивать пароль.

[Bio]

1) Фаерволом? man iptables.

Хотелось бы сделать это так, как позволяет сама самба. Она ведь должна уметь разделять доступ по интерфейсам?

2) А если просто создать на сервере с самбой отдельного секретного юзверя с секретным паролем и прописать его для секретной шары? Самба будет спрашивать пароль.

Единожды зайдя на шару можно заходить и далее, не вводя логин и пароль, а так не должно быть.

[Lion-Simba]

1) Фаерволом? man iptables.

Хотелось бы сделать это так, как позволяет сама самба. Она ведь должна уметь разделять доступ по интерфейсам?

Это не есть её базовая функциональность.
А вот фаервол - другое дело, как раз для этого и предназначен.

2) А если просто создать на сервере с самбой отдельного секретного юзверя с секретным паролем и прописать его для секретной шары? Самба будет спрашивать пароль.

Единожды зайдя на шару можно заходить и далее, не вводя логин и пароль, а так не должно быть.

А это целиком и полностью зависит от настроек клиентской машины. В Ubuntu при подключении к шаре можно выбрать, чего делать с введенным паролем - сохранить, сохранить до конца сеанса, забыть. В Windows подозреваю это тоже настраивается через какие-нибудь локальные или групповые политики.
Между прочим, VPN в этом плане не сильно лучше. Там тоже есть галка "Сохранить пароль". И keylogger'ы еще никто не отменял.

[Гарри Кашпировский]

VPN - это костыль.
Чем плоха идея авторизация на самой самбе?

[Tokh]

Топикстатер не знает как сбросить авторизацию синхронно с "заменой на стуле начальника  на подчинённого". Я тоже не знаю, но где-то, что-то было... среди настроек Самбы.

[Bio]

Топикстатер не знает как сбросить авторизацию синхронно с "заменой на стуле начальника  на подчинённого". Я тоже не знаю, но где-то, что-то было... среди настроек Самбы.

Да! Да! Очень четко уловили хотелку! Вот как бы это сделать...
Для этого и были придуманы костыли с vpn...
Пользователь решил продолжить мысль 03 Апреля 2009, 09:31:22:Ну что, никто не может подсказать как сбросить авторизацию самбы, или настроить её на работу только с ppp* интерфейсами?