Я использую Red Hat Enterprise Linux 6.6, и для аутентификации мы используем аутентификацию LDAP. У нас есть запущенное приложение на сервере (неважно, какой именно), и приложение работает так, что оно в основном использует ОС только для аутентификации пользователя, все остальное обрабатывается в приложении.
Вот проблема, с которой я сталкиваюсь: иногда пользователи сообщают свои имена пользователей и пароли, что противоречит нашей политике, но я не знаю, когда это произойдет (некоторые из них признались, и вскоре были отключены). То, что я обнаружил, когда пользователь аутентифицируется, приложение сообщает ОС «аутентифицировать этого пользователя», ОС настроена на использование LDAP, а LDAP использует модуль PAM.
Что я хочу сделать на уровне аутентификации, так это запустить скрипт для проверки входящего IP-адреса пользователя и проверить, есть ли у него несколько сеансов, если у пользователя несколько сеансов, проверить IP-адрес из сеанса и посмотреть, совпадают ли они. Это лучшее, что я могу придумать, поскольку пользователь не может одновременно находиться на двух машинах.
Я знаю, что есть способ ограничить пользователя по IP, но у некоторых пользователей есть ноутбуки, и они перемещаются, поэтому их IP назначается динамически и постоянно меняется. В то же время было бы кошмаром поддерживать 600+ IP-пользователей и адресов.
Какие-либо предложения?