Ярлык запуска ИП, запуск определенного пользователя с паролем, как ?

[Петрович]

Дано: У клиента организован терминальный сервер. Пользователи используют для входа Etoken с сертификатами. У каждого свое рабочее пространство с программами и правами доступа.
Задача: Прописать ярлык ИП таким образом, чтобы был явно указан пользователь ИП и пароль. (а в идеале хэш из пароля ИП и имени пользователя ОС и пользователя ИП)

[Григорий]

Не вижу связи между терминалом и ИП. Пользователь сначала заходит на сервер, потом в ИП.

[Петрович]

Цитата:

Сообщение от Григорий

Не вижу связи между терминалом и ИП. Пользователь сначала заходит на сервер, потом в ИП.

А ее и нет, и быть не должно.
задача исключить выбор пользователя при запуске ИП (возложив эту задачу на ярлык), оставив только ввод пароля.

[Григорий]

Нет, такой возможности нет. Более того, средства аутентификации Windows, Firebird и Инфо-Предприятия никак между собой не связаны.

Если хотите, можете настроить у пользователя функцию "не запрашивать пароль". Однако это не надежно с точки зрения безопасности - можно легко развалить.

[Петрович]

Беда не в пароле, пользователи изолированы друг от друга средствами сервера. У каждого пользователя свой рабочий стол, набор программ итд. И пользователей не так много, но работают они посменно. И велик у них соблазн поглядеть операции соседа, вот и пытаются зайти под чужим логином в ИП. Вот и хотелось на каждом рабочем столе прописать в ярлыке запуска ИП, конкретного пользователя (по примеру БД).

[Григорий]

Чтобы не было соблазна - сделайте более секьюрные пароли. Да, в ярлыке можно прописать имя пользователя, но имя пользователя Firebird, а оно нигде не протоколируется, поэтому даже если будут под разными именами заходить - кто напортачил не разберете.

[rpl1956]

Григорий, а можно в командной строке сразу прописать пользователя через ключ (было бы очень удобно). Например iplauncher/exe -u buch1. И при таком запуске запросить пароль. Или сделать запуск аналогичный доступу к FTP - типа user@password. У меня например складывается ситуация когда пользователь на терминале работает только с ИП и при старте терминала сразу запускается ИП. Таким образом я на рабочий стол компьютера пользователя выкладываю ярлык доступа к терминалу и он становиться практически ярлыком доступа к ИП. Вот именно для этого нужен был бы ключ типа -u (user).

Ключ -U это ключ доступа для firebird, вот сделать ключ -u для ip2.exe, чтобы проверить имя и пароль пользователя...

[Петрович]

Для себя сделал вывод, что возможность запускать ИП указав имя пользователя все же необходимость. Очень хочется в след. обновлениях увидеть такую возможность(ключи -u -p).
2й вопрос касательно пароля требует обсуждения. С паролем не все так однозначно. В явном виде его указывать нельзя априори. Я предлагаю использовать хэш из (тут есть много вариантов) пароля+имя компьютера+имя пользователя в системе.

[Григорий]

Добавьте проекты со ссылкой на текущую ветку. Посмотрим.

[Виталий[Минск]]

поддерживаю, хорошая идея.

[Петрович]

Продолжая размышлять по поводу указания пароля в ярлыке придумал вот что:
1. Пользователь (далее Администратор) должен иметь возможность выбора, использовать или нет ключи запуска -u -p (предварительно их так назовем)
2. Хеш должен генерировать ИП и сообщать администратору. (Здесь полагаю должен происходить диалог с указанием пароля пользователя, если пароль верен то выдать строку с хешем, иначе ошибка)
3. Для каждого пользователя, в целях секьюрети, необходимо отдельно указывать из чего формируется хеш. (список обсуждаем) Например Продавец - пароль+имя компьютера. Менеджер - пароль+имя пользователя ОС. Бухгалтер - пароль+имя компьютера+имя пользователя ОС.

И собственно варианты что включить в список опций хеша:
-пароль (всегда включен, например MD5 от пароля)
-имя пользователя ОС
-имя компьютера
-IP адрес компьютера
-Serial HDD

Ваши варианты ?!

[Виталий[Минск]]

Цитата:

Сообщение от Петрович

Ваши варианты ?!

предлагаю более простой вариант.
1) нужны ключи "-u" и "-p". оба передаются в открытом виде как есть.
2) разделить их обработку на два варианта
2.1) указаны "-u" и "-p" - сразу вход в базу данным пользователем без дилогов
2.2) указан только "-u" - вход в базу с диалогом пользователь/пароль, где нет выбора пользователей а только один указанный через параметр.
и не нужн мудрить с хэшами / серийниками и т.д.

3) если кому нужно указать явно "-u" и "-p" и включить параною, есть простой способ который Windows понимает на ура.
WSH(Windows Script Host) + Script Encoder

[Григорий]

Добавили параметр -П<пользователь>. Позволяет указать конкретного пользователя в ярлыке.

Я думаю будет полезно не только в описанном случае, а практически всем, у кого > 1 пользователя в базе.

[Виталий[Минск]]

Спасибо.