我正在使用 NIS 来管理 Redhat 6.6 封闭网络上的用户。我们在封闭网络中使用多个 VLAN。是否可以分配权限或以某种方式允许特定用户使用 VLAN,同时阻止其他用户访问该特定 VLAN?有谁知道这在正常的 Redhat 用户管理中是否可行?或者这种类型的限制仅发生在网络交换机内?
我们正在使用 VLAN 成功隔离网络。我专门问上面的问题是为了看看向本地工作站添加特定的 VLAN 是否有益,本地工作站已经使用通用 VLAN 来供用户访问网络。否则,我允许用户访问特定的机器,该机器可以访问通用 VLAN 和特定 VLAN。
答案1
确实可以按照您的要求将特定用户与特定 VLAN 相关联。
不过,可以通过 RADIUS 而不是 NIS 来完成。该技术可应用于设备支持VLAN和的有线或无线网络802.1X。
我们在这里使用自由半径Debian Jessie 中的 3.0.12 和 Stretch 中的 3.1.x 具有 Cisco 电缆基础设施和 Meru wifi,并且每天可以很好地验证超过 2000 个用户。
我们将 FreeRadius 服务器连接到 AD 来对用户进行身份验证。它还可以与 LDAP 服务器通信,或者定义静态用户。如果您使用 LDAP 来验证用户身份,则几乎可以使用/扩展 LDAP 架构来满足您的 RADIUS 需求。
eduroamFreeRadius根据不同的用户配置文件/AD 组在我们的 SSID 中分配至少 3 个不同的 VLAN 。
在家里,我的带有 OpenWrt 的 TP-LINK AP 据说也支持 802.1X,我已经在我的待办事项列表中做到了这一点。
至于客户端,任何现代操作系统都可以很好地支持 802.1X 请求者。
然而,实施此类基础设施的学习曲线有点陡峭,但随着时间的推移,一切都会变得有意义。
我还要指出的是,VLAN 分配限制是在端口/虚拟端口级别完成的,它会影响用户正在使用的设备。