Пользователи и компьюторы

Кто как привязывает конкретных пользователей к конкретным хостам, с учетом сильно изменяющейся структуры сети, большой текучки кадров, и сменой компьютеров. Меня интересуют как конкретные методики так и самописные/самопридуманные решения.
Заранее благодарен за отзывы.

Например puppet, дурная

Например puppet, дурная система через пень колоду, от версии к версии совместимость между сервером и клиентом напрочь пропадает, ежики кололись, но продолжали...не рекомендую, особенно в связке с AD(SFU).

Сон разума порождает чудовищ, сон безумия – вечность…

/

ivanf написал(а):
Кто как привязывает конкретных пользователей к конкретным хостам, с учетом сильно изменяющейся структуры сети, большой текучки кадров, и сменой компьютеров.

Лично меня в такой ситуации интересует обоснование необходимости привязки пользователя к конкретному хосту.
В данной ситуации достаточной проблемой является управление базой пользователей.

:wq
--
Live free or die

>>Лично меня в такой ситуации

>>Лично меня в такой ситуации интересует обоснование необходимости привязки пользователя к конкретному хосту.

Тут как раз все просто. Обоснованием для проведения драконовских мер связанных с безопасностью (иной необходимости привязки юзверя к хосту я не вижу) является соответсвующая политика безопасности предприятия, утвержденная вышестоящим руководсвом. Для этого на предприятии, в соответсвии с законом РФ о защите информации, должен быть проведен ряд организационнызх мероприятий, и прописана куча макулатуры, как то концепция информационной безопасности, инструкции, политики и прочая байда, а так же создана коммисиия с соответсвующими планами и протоколами работ,разработан набор грифов и проведена классификация инфы по грифам секретности. Без этих мероприятий привлечь сотрудника к уголовной ответсвенности за нарушение режима безопасности практически невозможно, а следовательно все сисадминские инновации( и эта в том числе) не стоят затраченных на них усилий.

Более того, определение "хоста" в сети не гарантировано и существует куча методов захвата чужого мака и айпишника и хостнейма. Единственный способ определить валидность хоста - сертификат хоста на основе ассиметричных алгоритмов шифрования.

Ну и, как вы наверное уже успели заметить, реализация мер сильно зависит от инструментария. Под АД помнится была возможность ограничения возможности логина юзверя по перечню хостов. Управление базой АД , ежу понятно, знакомо всем админам, плюс к тому, для облегчения задачи,можно покопать скрипты с http://www.askit.ru/ или другого винфака.

/

wi написал(а):
Тут как раз все просто.
...

Это формальности, необходимые для корректной реализации.
Меня же интересует чем вызвана (и насколько реально необходима с учётом оглашённых дополнительных данных типа текучки и нестабильности структуры) необходимость реализации указанных мер (полагаю список не окончательным.

wi написал(а):
Без этих мероприятий привлечь сотрудника к уголовной ответсвенности за нарушение режима безопасности практически невозможно, а следовательно все сисадминские инновации( и эта в том числе) не стоят затраченных на них усилий.

Мне почему-то всегда казалось, что привлечение сотрудника к уголовной ответственности не является целью трудовой деятельности системного администратора...
:)))

wi написал(а):
Управление базой АД , ежу понятно, знакомо всем админам

Очень странное утверждение.
Особенно здесь... :)))

:wq
--
Live free or die

Расшифровываю: причина, указ

Расшифровываю: причина, указ начальства, который сделан из совершенно иных (не о безопастности) соображений и обсуждению исполнителями (в т.ч. сисадминами) не подлежит.

Дополняю

NightNord написал(а):
причина, указ начальства, который сделан из совершенно иных (не о безопастности) соображений и обсуждению исполнителями (в т.ч. сисадминами) не подлежит.

Руководство в своей безграничной мудрости может требовать нереализуемого.
Ну или как обычно требовать результата "забыв" обеспечить тем, что необходимо для этого.

:wq
--
Live free or die

Может, да. Но, в описанном

Может, да. Но, в описанном тов. wi, случае, думаю спорить бесполезно =)

вы бы хоть написали, на чем

вы бы хоть написали, на чем (если есть) организована служба каталогов ? AD,openldap,389,NDS ... ?

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

пока пользователи не

пока пользователи не авторизуются в системе вообще, часть сервисов авторизует по openldap(posixAccount, inetOrgPerson), остальные как попало собственными средствами. Такая лабуда не из-за моей лени, а по причине сильно разнородных потребностей пользователей, отсутствие какой либо документальной регламентации.

gentoo centos fedora

Досужее суждение

ivanf написал(а):
пока пользователи не авторизуются в системе вообще, часть сервисов авторизует по openldap(posixAccount, inetOrgPerson), остальные как попало собственными средствами...

То есть идентификация сотрудников не унифицирована? Бог для прекращения строительства Вавилонской башни сделал гораздо меньше - он просто наделил разные группы разными наборами слов.

IMHO - в первую очередь стОит выбрать один из многочисленных способов стандартизации (хотя бы и MS AD, или, скажем, eDirectory). Потом всё "подгонять" под эту гребёнку. Ох, и навоюешься!!!

emerge Your world
Gentoogle

отсутствие какой либо

отсутствие какой либо документальной регламентации.

Дальнейшие технические действия бессмысленны.Займитесь наконец проектированием - тогда и надобность кого то куда то привязывать отпадает

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".