Пользователи и компьюторы
ivanf 30 сентября, 2009 - 12:45
Кто как привязывает конкретных пользователей к конкретным хостам, с учетом сильно изменяющейся структуры сети, большой текучки кадров, и сменой компьютеров. Меня интересуют как конкретные методики так и самописные/самопридуманные решения.
Заранее благодарен за отзывы.
»
- Для комментирования войдите или зарегистрируйтесь
Например puppet, дурная
Например puppet, дурная система через пень колоду, от версии к версии совместимость между сервером и клиентом напрочь пропадает, ежики кололись, но продолжали...не рекомендую, особенно в связке с AD(SFU).
Сон разума порождает чудовищ, сон безумия – вечность…
/
Лично меня в такой ситуации интересует обоснование необходимости привязки пользователя к конкретному хосту.
В данной ситуации достаточной проблемой является управление базой пользователей.
:wq
--
Live free or die
>>Лично меня в такой ситуации
>>Лично меня в такой ситуации интересует обоснование необходимости привязки пользователя к конкретному хосту.
Тут как раз все просто. Обоснованием для проведения драконовских мер связанных с безопасностью (иной необходимости привязки юзверя к хосту я не вижу) является соответсвующая политика безопасности предприятия, утвержденная вышестоящим руководсвом. Для этого на предприятии, в соответсвии с законом РФ о защите информации, должен быть проведен ряд организационнызх мероприятий, и прописана куча макулатуры, как то концепция информационной безопасности, инструкции, политики и прочая байда, а так же создана коммисиия с соответсвующими планами и протоколами работ,разработан набор грифов и проведена классификация инфы по грифам секретности. Без этих мероприятий привлечь сотрудника к уголовной ответсвенности за нарушение режима безопасности практически невозможно, а следовательно все сисадминские инновации( и эта в том числе) не стоят затраченных на них усилий.
Более того, определение "хоста" в сети не гарантировано и существует куча методов захвата чужого мака и айпишника и хостнейма. Единственный способ определить валидность хоста - сертификат хоста на основе ассиметричных алгоритмов шифрования.
Ну и, как вы наверное уже успели заметить, реализация мер сильно зависит от инструментария. Под АД помнится была возможность ограничения возможности логина юзверя по перечню хостов. Управление базой АД , ежу понятно, знакомо всем админам, плюс к тому, для облегчения задачи,можно покопать скрипты с http://www.askit.ru/ или другого винфака.
/
Это формальности, необходимые для корректной реализации.
Меня же интересует чем вызвана (и насколько реально необходима с учётом оглашённых дополнительных данных типа текучки и нестабильности структуры) необходимость реализации указанных мер (полагаю список не окончательным.
Мне почему-то всегда казалось, что привлечение сотрудника к уголовной ответственности не является целью трудовой деятельности системного администратора...
:)))
Очень странное утверждение.
Особенно здесь... :)))
:wq
--
Live free or die
Расшифровываю: причина, указ
Расшифровываю: причина, указ начальства, который сделан из совершенно иных (не о безопастности) соображений и обсуждению исполнителями (в т.ч. сисадминами) не подлежит.
Дополняю
Руководство в своей безграничной мудрости может требовать нереализуемого.
Ну или как обычно требовать результата "забыв" обеспечить тем, что необходимо для этого.
:wq
--
Live free or die
Может, да. Но, в описанном
Может, да. Но, в описанном тов. wi, случае, думаю спорить бесполезно =)
вы бы хоть написали, на чем
вы бы хоть написали, на чем (если есть) организована служба каталогов ? AD,openldap,389,NDS ... ?
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
пока пользователи не
пока пользователи не авторизуются в системе вообще, часть сервисов авторизует по openldap(posixAccount, inetOrgPerson), остальные как попало собственными средствами. Такая лабуда не из-за моей лени, а по причине сильно разнородных потребностей пользователей, отсутствие какой либо документальной регламентации.
gentoo centos fedora
Досужее суждение
То есть идентификация сотрудников не унифицирована? Бог для прекращения строительства Вавилонской башни сделал гораздо меньше - он просто наделил разные группы разными наборами слов.
IMHO - в первую очередь стОит выбрать один из многочисленных способов стандартизации (хотя бы и MS AD, или, скажем, eDirectory). Потом всё "подгонять" под эту гребёнку. Ох, и навоюешься!!!
emerge Your world
Gentoogle
отсутствие какой либо
Дальнейшие технические действия бессмысленны.Займитесь наконец проектированием - тогда и надобность кого то куда то привязывать отпадает
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)