Benutzerverwaltung Konsolenzugriff?

Roeni · 23. Januar 2009 um 19:32

Hi,

also blöd stelle ich mich ja eigentlich nich an. aber wo finde ich die benutzerverwaltung für die konsole?
Momentan muss ich keinen Benutzer und kein Passwort angeben um mich zu verbinden…

mfg
roeni

wgreipl · 23. Januar 2009 um 19:43

Hallo roeni,

liegt auch nicht an Dir…

… es gibt noch keine Benutzerverwaltung.

Torro · 23. Januar 2009 um 19:48

Hallo,

genau, das steht noch auf der Todo Liste der Entwickler, also m besten die Ports vorlaeufig erstmal sperren.

_muckel · 23. Januar 2009 um 19:49

Ja wird Zeit, daß die kommt.

wgreipl · 23. Januar 2009 um 20:29

Hallo paresy,

da stellt sich die Frage…

… gibt es schon einen Zeitrahmen für die Integration der Benutzerverwaltung?

RWN · 23. Januar 2009 um 22:30

also blöd stelle ich mich ja eigentlich nich an. aber wo finde ich die benutzerverwaltung für die konsole?
Momentan muss ich keinen Benutzer und kein Passwort angeben um mich zu verbinden…

mfg

Was soll das bringen oder verhindern ?

Windows erlaubt Programme zu installieren und den User zuzuordnen.
Folglich gibt es doch keine Zugriffsprobleme von Programmen die dem User nicht zugeordnet sind ?
Es sei denn, ich installiere für alle(Zugriff). Missverstehe ich hier wieder was.

Daher sollte ich mich als User meines Rechners frei bewegen können, es seidenn ich habe dieses explizit unterbunden.

Torro · 23. Januar 2009 um 23:07

Hallo RWN,

Sicherheit?

Windows erlaubt Programme zu installieren und den User zuzuordnen.
Folglich gibt es doch keine Zugriffsprobleme von Programmen die dem User nicht zugeordnet sind ?
Es sei denn, ich installiere für alle(Zugriff). Missverstehe ich hier wieder was.

Jep.

Daher sollte ich mich als User meines Rechners frei bewegen können, es seidenn ich habe dieses explizit unterbunden.

es geht um den Zugriff per IPS-Console. Viele wollen von ausserhalb des Heimnetzwerks auch per IPS Console zugreifen. Und dazu wird der Port 3773 geoeffnet. So, und ab diesem Zeitpunkt kann jeder bei Kenntnis der Adresse mittels IPS Console auf Dein IPSv2 zugreifen. Und das muss durch obige gewuenschte Berechtigungsverwaltung verhindert werden.

RWN · 23. Januar 2009 um 23:22

es geht um den Zugriff per IPS-Console. Viele wollen von ausserhalb des Heimnetzwerks auch per IPS Console zugreifen. Und dazu wird der Port 3773 geoeffnet. So, und ab diesem Zeitpunkt kann jeder bei Kenntnis der Adresse mittels IPS Console auf Dein IPSv2 zugreifen. Und das muss durch obige gewuenschte Berechtigungsverwaltung verhindert werden.

dafür gibt es VPN. Alles andere ist eh den Geiern zum Fras geworfen.

Jeder wie er es haben will

paresy · 23. Januar 2009 um 23:25

Wie RWN sage: Wer es zur Zeit braucht, muss Methoden wie VPN nutzen.

Bis eine Verschlüsselung + Benutzerauthentifizierung kommen wird, wird es leider noch etwas dauern. Einen Termin gibt es nicht. (Ich kann aber Garantieren, dass es vor der Cebit nichts mehr wird.)

paresy

RWN · 23. Januar 2009 um 23:53

@ parsey,

ich würd mir da kein Kopf drüber machen.

VPN oder gar nix. Ansonsten muss jeder entscheiden wie er auf sein Netz zugreift. Egal von wo.
VPN kann jedes normales HTC, I-Phone usw… egal

Ich mach ja ungern Werbung. Nen schönen Server für lau mit allem drum und dran bis 5 Clients gibbet bei Collax.

Wer Spass dran hat kann ja mal suchen.

Nicht hier, aber die Suchmachine oder hier

Stefan · 24. Januar 2009 um 13:22

Hallo,

ich möchte nur kurz etwas zum Thema Benutzerauthentifizierung anmerken:

Könnt Ihr euch vorstellen, Euren Server nicht allein zu nutzen? Bei uns handelt es sich um ein Mehrfamilienhaus mit einigen PCs und Servern, die alle unterschiedliche Dienste anbieten. Es macht ja wenig Sinn, wenn sich jede Familie eigene Server hinstellt, die unter dem Strich alle das gleiche erledigen.

Von Extern kommt man natürlich nur per VPN hinein, aber auch von intern sollte auch nicht jeder an meinem IPS rumspielen können.

Da könnte ich ja auch fragen - „Warum braucht man überhaupt Benutzerverwaltung?“ - schließt doch den Raum ab, so ist der Weg zum PC genau reglementiert.

Dies funktioniert aber nicht, sobald mehrere Personen es nutzen können sollen. Falls IPS in Firmen eingesetzt wird, sieht es ja genauso aus.

Ich für meinen Teil freue mich schon auf die Implementierung der Benutzerverwaltung! Das so etwas Zeit braucht ist aber unumstritten. Aber der Nutzen ist (sobald mehr als 1 Person am LAN hängt) riesig.

P.S. Ja, ich könnte in den Server eine zweite Netzwerkkarte einbauen, IPS daran binden und per managebaren Switch VLANs einrichten und so zumindest den Zugriff auf einige PCs beschränken - aber gebt doch zu:
Den Übertragungskanal einzuschränken ist ein Weg, der generell angewendet, schwieriger als eine ordentliche Nutzerverwaltung ist.

Denkt bitte immer daran, es können auch mehrere Personen ein LAN nutzen. Im Kleinsthaushalt mit 1x DSL-Router und 1xPC sieht es natürlich einfacher aus (siehe Anmerkung RWN)

Windows erlaubt Programme zu installieren und den User zuzuordnen.
Folglich gibt es doch keine Zugriffsprobleme von Programmen die dem User nicht zugeordnet sind ?
Es sei denn, ich installiere für alle(Zugriff). Missverstehe ich hier wieder was.

Ich hoffe, den Sinn der Benutzerverwaltung zum Teil geklärt zu haben.

@RWN:

Was ist, wenn sich z.B. Dein Sohn die IPS_Console aus dem Netz lädt und dann an Deinen Skripten spielt? Wenn Du ihm nicht den kompletten Zugang zum PC sperrst, kannst Du dies nicht ausschließen.

Viele Grüße

Stefan

RWN · 24. Januar 2009 um 13:43

Hallo Stefan,

hast ja Recht.

Windows hat dieses allerdings mit an Board und damit kann ich jedem explizit Zugriff gewähren oder auch nicht.

Bei mir laufen 2, 2003 Server da hat jeder nur Zugriff auf das was ihn was angeht, auch mein Sohn, selbst wenn er die Console runter laden würde, hat keine Chance.
Wenn das bei euch so ist, machts Du irgendwas falsch.

Torro · 24. Januar 2009 um 14:01

Hallo RWN,

wie funktioniert das denn genau? Wenn das so gehen wuerde, waere es fuer mich erstmal ok, aber ich wuesste nicht, wie.

Bei mir laufen 2, 2003 Server da hat jeder nur Zugriff auf das was ihn was angeht, auch mein Sohn, selbst wenn er die Console runter laden würde, hat keine Chance.
Wenn das bei euch so ist, machts Du irgendwas falsch.

Kann man auf Deinen Rechner von aussen per Console zugreifen? Falls ja, wuerde ich das mal gern testen, ob Du mit Deiner obigen Verfahrensweise recht hast, ich glaube es naemlich nicht.

RWN · 24. Januar 2009 um 14:35

Hallo Uwe,

mein letzter Post war auf intern gemünzt.

Kann man auf Deinen Rechner von aussen per Console zugreifen? Falls ja, wuerde ich das mal gern testen, ob Du mit Deiner obigen Verfahrensweise recht hast, ich glaube es naemlich nicht.

Kann man nicht. Kann dir aber gerne mal einen Link geben. Du wirst allerdings ohne PW nicht weit kommen.

Stefan · 24. Januar 2009 um 16:32

Hallo RWN,

bitte erkläre mir, wie Du dies realisiert hast, da ich es evtl. ebenso umsetzen könnte. Ich/wir setzen Windows 2000/2003 und Linux als Diensteanbieter ein. Auf dem 2000er Server läuft IPS. Jeder PC hat überall intern physikalischen (nicht logischen) Netzwerkzugriff, von extern komme ich per VPN (mit Zertifikat und Benutzerabfrage) physikalisch in mein internes LAN. Die angebotenen Dienste werden über die Benutzerkonten eingeschränkt. Wie hast Du den Zugriff zu IPS beschränkt?

Danke

RWN · 24. Januar 2009 um 17:18

Hallo Stefan,

nach Stromausfall noch einmal :mad:

intern über die Rechteverwaltung.

extern über Benutzerverwaltung im Webserver.
Du kannst ja über alias Zugriffe gestatten(mit Anmeldung usw.)

Daher ist es ziemlich egal ob ein Programm eine Anmeldung hat oder nicht.

Die sicherste Methode ist halt immer noch VPN, da dann die interen Rechte wieder gelten.
Möglichkeiten gibt es viele. Du kannst ja auch z.B. über Remote rein.

Wenn einer natürlich nur die Console extern benutzen will, warum auch immer, ist halt eine Auth nötig, ohne Frage. Deswegen jedem das seine.

Stefan · 24. Januar 2009 um 17:34

Hallo RWN,

intern über die Rechteverwaltung.

Du kannst ja über alias Zugriffe gestatten(mit Anmeldung usw.)

Daher ist es ziemlich egal ob ein Programm eine Anmeldung hat oder nicht.

bitte erkläre mir kurz, wo genau Du was einstellst, da ich mit oben geschriebenem nichts so richtig anfangen kann. Mit google und „Windows alias“ kommt auch keine Antwort. Alias und DNS ist allerdings keine Möglichkeit, irgendwas einzuschränken.

Mich interessiert die Umsetzung wirklich, da ich es sehr gern einschränken möchte, aber der Meinung bin, dass es momentan nicht hinreichend funktioniert.

Vielen Dank

Torro · 24. Januar 2009 um 17:39

Hallo Rainer,

sorry, aber jetzt verdrehst Du alles.

kannst Du eventuell nochmal das Thema inspizieren? Wir reden hier die ganze Zeit vom IPS-Consolenzugriff von extern! Erst erzaehlst Du, das ist alles kein Problem und jetzt auf einmal???

Also nochmal: Der IPS-Consolenzugriff von aussen ist derzeit ohne Authentifizierung und damit extern nicht nutzbar, sofern man damit auf das Live System zugreift. Und nur darum geht es, nicht um irgendwelche anderen Zugriffsmoeglichkeiten, geschweige denn um Webserver.

robi · 24. Januar 2009 um 19:57

Hallo Stefan,

der Zugiff auf IPS kann auch ohne Benutzerverwaltung reglementiert werden. Allerdings nicht auf Benutzerebene sondern nur für Rechner im Netz.

Unter XP muss ja die bordeigene Firewall auf dem IPS-Port geöffnet werden, damit Verbindungsanfragen externer Konsolen bei IPS landen. Diese Freigabe kann man auf einzelne Ip-Adressen oder Bereiche beschränken.

Das geht unter 2000 Server auch, eventuell nicht so komfortabel.