Hallo Holger,
Am 20.03.2015 um 12:01 schrieb Holger Baumhof:
Hallo Tobias,
Hans-Dietrich und Jürgen denken da an zwei Domänen mit
Vertrauensstellung
ich zumindest an 2 Domänen - Vertrauenstellung eher nicht.
- bzw. mit Authentifizierung der Rechner gegenüber
dem server.
ja, allerdings.
Client-plattform unabhängig muss es halt sein. Win7 + linux müssen das
können.
wie ich schon an anderer Stelle geschrieben habe, bei Linux sollte das
gehen, aber ich kann es nicht und kann das damit auch nicht einschätzen.
Zwei Domains halte ich für
1) zu aufwändig
sehe ich keineswegs so.
2) möglicherweise für zu unsicher, denn: ein Schüler könnte das Domadmin
Passwort herausbekommen und die Domäne wechseln.
Außerdem haben bei uns alle Windows Arbeitsstationen linbobedingt die
selben Workstationspasswörter: auch das kann ein Einfallstor sein.
jetzt hast du mich erwischt. :(
Ich habe kein Linbo, keine Wächterkarten etc. Damit handeln sich die
Windows-Rechner nach einer bestimmten Zeit (30 Tage?) ein neues Passwort
aus. Wenn das Passwort fest und vielleicht noch bekannt ist, dann macht
natürlich eine Authentifizierung der Rechner gar keinen Sinn mehr.
Das Subnetting ist das Werkzeug der Wahl, weil switches viel schwerer an
zu greifen sind, als Server.
irgendwo werden die Switche ja auch konfiguriert und mit Passwort(?)
geschützt. Damit sollten doch dieselben Überlegungen wie bei dem
Domadmin-Passwort gelten. Zumindest sehe ich das so.
Wir haben bei uns keine managebare Switche. Da ist demzufolge auch
nichts angreifbar. Aber der Vorschlag von Tobias ist trotzdem für mich
goldwert. Ich nutze dann für das Lehrernetz eine andere Netzwerkkarte
als die für das päd. Netz. Das sind dann auch 2 Subnetze im klassischen
Sinne. Aus meiner Sicht kommt man dann selbst mit gestohlenen
Domadmin-Passwort nicht so leicht in das andere Netz, weil er ja in dem
Netz mit der falschen Netzwerkkarte ist (hardwaremäßig).
Wir wollen sicher stellen, dass der Zugriff auf das NAS am
physikalischen Standort des Computers hängt: damit haben wir eine
physikalische Zugriffskontrolle.
das habe ich jetzt zwar nicht verstanden. - ist aber wohl jetzt
irrelevant, weil mein Vorschlag nicht zu Limbo passt, jedenfalls nicht
in der beschriebenen Konstellation und damit für euch wohl entfällt.
Viele Grüße
Hans-Dietrich
_______________________________________________
linuxmuster-user mailing list
[email protected]
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
