gard |
|
Темы:
66
Сообщения:
1167
Участник с: 15 декабря 2009
|
Привет всем! На работе пользователи хранят файлы на рабочих столах, в документах, в расшаренных папках, в общем все очень небезопасно. С шары файлы может удалить любой желающий, любой комп может просто погибнуть и важные данные будут утеряны. Мысль сделать что-то с этим меня глодала давно, и вот я решился разобраться с самбой. Даже написал хаутушку. Все опыты делал у себя на работе на своем компе под арчем. Ну и вот собственно возникает дилемма. И основной вопрос: а нужен ли домен для десятка пользователей, даже для двадцатки-тридцатки пользователей? Основная цель - сделать отказоустойчивую шару и личные каталоги пользователей. Как я понимаю на самба этого можно добиться просто в режиме security = user. Пользователь включает компьютер и получает доступ к шаре и личному каталогу. Смонтировать шару и каталог можно в батничке, указав явно имя/пароль, батничек просто положить в автозагрузку. Но в таком простом режиме уже не реализовать по нормальному перенаправление каталогов “Мои документы” и “Рабочий стол”, а хранить они будут все по прежнему там, я просто уверен. Можно попробовать и без батничка, задать всем на учетки пароли, имена учеток сделать более вменяемыми чем сейчас, однако будут против паролей это 100%. Что же касается реализации PDC уровня NT, то тут каждую машинку нужно ввести в домен (ну они автоматически вводятся при должной настройке самбы) и каждый пользователь будет обязан вводить имя/пароль в непривычном оконце для входа в домен, это вызовет много негодования и я думаю такие частые проблемы как “я забыл пароль и не могу его найти”. Однако, в таком режиме можно нормально сделать перенаправление каталогов “Мои документы” и “Рабочий стол” в личный каталог пользователя (перемещаемые профили я делать не хочу, только редирект). Но.. опять же тут поджидает другая проблема, профили пользователя изначально станут дефолтными, ярлыки на рабочем столе укатятся с нужных мест, история и закладки браузера будут утеряны и это опять таки вызовет панику у каждого первого. Париться с копированием их локальный профилей в нового доменного пользователя мне вообще не хочется. А может быть повозмущаются и успокоятся. И вот думаю как же сделать. С одной стороны - никаких неудобств для пользователя, если нет никакого домена, баник в автостарт и вперед, но документы с рабочего стола будут лежать локально, если их специально не положить в личный каталог для сохранности. С другой стороны - сохранность информации пользователей повышается, но они получают кучу ужасных в их представлении неудобств: ввод непонятных имен и паролей, девственный профиль и психологические травмы. И вот прямо не знаю как же сделать. В принципе можно дать простую установку: “за сохранность того, что лежит на вашем компьютере я не отвечаю, храните все на сервере” и реализовать первый вариант, но можно реализовать и второй. Хотя… тут опять дилемма.. если я уволюсь (а я рано или поздно уйду оттуда, еще максимум годик и пора что-то менять), то второй вариант с PDC на самбе будет гораздо сложнее передать тому, кто придет на мое место. А придет простой эникейщик вроде меня, но скорее всего без каких либо познаний в линуксах. Таким образом первая схема будет проще в поддержке кем то другим, чем вторая. В общем.. блин незнаю. Хочется сделать PDC, но не хочется ставить опыты на людях. :D |
sleepycat |
|
Темы:
98
Сообщения:
3291
Участник с: 19 июля 2011
|
домен для паролей в 1 месте, наладить защиту по учеткам можено и без домена. По поводу сгоревших кабинетов - это к бекапам, можно скриптами rsync-ами , а можно и амандами и бакулами. Пилите Шура ) 2) в винях можно настроить доступ к шарам (логин и пароль) и без батников и pdc, но можно и через последнего, если его ставить нужно. Вход в систему должен быть парольным в любом случае, это часть служебной инструкции , защищать личные и кор. данные. Т.е. я когда-то получил по голове изза своего “вольно-доброго” отношения к тактике пользователей, когда решено было ставить домен, заставил запаролится принудительно, месяц побухтели и привыкли. Зато нет больше запросов вида “вчера сделала накладную и сохранила в общие документы , а сегодня его нету”. Потом выяснялось что там кто-то на когото обиделся и решил как бы не взначай удалить. Пришлось временно вкл. логирование доступа, что безбожно тормозило сервер, после получения доказательств я раздал всем пароля , по папкам, сделал доклад на тему как надо хранить документооборот…вообщем доброта добротой , но порой бывает садятся на шею, и вроде бы ничего, но как грянет, шишки - Вам. имхо.
Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)
|
gard |
|
Темы:
66
Сообщения:
1167
Участник с: 15 декабря 2009
|
В общем подумал я и сделаю наверное без PDC, просто в режиме security = user. Протестировал только что, работает, локальных профилей пользователи не лишатся, но пароли им вводить придется, хоть и в более дружественном интерфейсе. Каждому в автозагрузку положу скриптик:@echo off; net use x: \\tux\data net use z: \\tux\share reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Personal" /d "x:\.Documents" /f reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Desktop" /d "x:\.Desktop" /f Добавлено: Ну в итоге пришел к тому, что скорее всего откажусь и от перенаправляемых папок и от доменной организации. просто будут пользователю монтироваться два диска: личный и групповая шара. А то вдруг они на рабочих столах будут фильмы складывать или качать двд-рипы в “Загрузки” в Документы. Постараюсь хорошо объяснить, что все важные данные нужно держать на сервере, иначе есть риск с этими данными распрощаться. |
sleepycat |
|
Темы:
98
Сообщения:
3291
Участник с: 19 июля 2011
|
какие логины кто вводит? завел smbpasswd , накрутил на шару. В хрюше в настройки юзера, там настраиваешь так сказать сетевой аудит, вводишь свою помойку, логин и пароль, сохранить. Все ходит без пароля. Чем там оно рипать будет? что там все под админами сидят? отключи им usb хосты, чтобы портабельное не носили,ну с др. стороны чтобы бекапитьвсе, неважно руками или автоматами, нужно иметь гдето место превышающее суммарно все винты юзверей в офисе, тогда и париться не надо, что там. имхо. насчет профилей хз. у меня мест всегда хатало, но можно наколдовать скрипт, который бый копировал бы папки и *.doc *.xls *.txt и пр. а mp3 mpeg avi ну и так далее просто бы динамил, ну тоже вариант. у тебя там безлимит чтоли? качать фильмы? решается банально, вырезанием всех известных юзеру мест фаерволом. ну или настойкой тогоже squid ,более тяжелее, но и результат гибче. Опять же если случай вроде “простых слов не понимаем” ;_) Нда , тяжелый случай, как у меня, но я уже как год свалил оттуда, ушел не от этого, я крайнетерпеливая тварь, а банально из-за более материально выгодного варианта.
Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)
|
add |
|
Темы:
9
Сообщения:
75
Участник с: 01 апреля 2010
|
Попробуй resara. Ставится очень просто и быстро. |
mango |
|
Темы:
43
Сообщения:
1521
Участник с: 18 декабря 2008
|
addА это не бесплатно. И зачем ресара в этом случае нужна? В этом случае можно использовать clearOS. |
gard |
|
Темы:
66
Сообщения:
1167
Участник с: 15 декабря 2009
|
Ну вот наконец то я ставлю файловый сервер и поэтому решил поднять тему. Решил обойтись без домена, но таки с парольной защитой, то есть уровень секурности самба = юзер. Однако, у меня есть еще джабер и его хотелось бы прицепить на будущих юзеров самба. Таким образом в голове нарисовалась схема. Сегодня как раз сидел ее пилил, обдумывал и ковырялся. Итак: 1) Создается начальный каталог LDAP для пользователей и групп. 2) Система конфигурируется так, чтобы она видела пользователей из LDAP ровно так же, как и локальных. 3) Все пользователи имеют тип posixAccount, то есть фактически являются просто unix-пользователями. 4) Самба ставится как сервер с security = user, но не доменом. 4) Ставятся утилиты ldapscripts для добавления unix-пользователей и групп. 5) Добавление пользователей Самба происходит через скрипт, читающий файл со строками вида: пользователь, пароль, группа. Скрипт: 5.1) Добавляет в ldap unix-пользователя через ldapscripts-утилиту (ldapadduser) 5.2) Запускает smbpasswd -a для добавления этого же пользователя в Samba. 6) Пользователям единоразово подключаются сетевые каталоги с сохранением имени/пароля. Еще раз отмечу, что фактически пользователи Samba хранятся во внутренней БД Samba, но основаны они на unix-пользователях в ldap. Чтобы происходила синхронизация паролей все тот же скрипт либо меняет пароль unix-пользователя перед добавлением его в Samba (грубо говоря задает одинаковый), либо сама Самба их синхронизирует используя параметры: unix password sync = Yes. С синхронизацией думаю добиться положительного результата завтра, так как для задания пароля Самбе придется вызывать утилитку из ldapscripts. В принципе особого профита нет, кроме того, что можно подцепить пользователей из LDAP в Jabber, отфильтровав их к примеру по GroupID. Затем модифицировать им атрибуты cn, чтобы обозвать вменяемо и по русски. =) Как думаете, такая схема в принципе нормальна? В общем то есть вариант подцепить Самба напрямую к LDAP, чтобы она через скрипты типа add user script (вызывающие утилиты из ldapscripts) сразу добавляла пользователей типа SambaSamAccount в LDAP в некую умолчальную группу, а сразу следом группа менялась бы на требуемую.. |
sleepycat |
|
Темы:
98
Сообщения:
3291
Участник с: 19 июля 2011
|
а есть смысл хранить все в одном месте? или это интереса ради? Не пойму я с джаббером, сложно через вебгуи ему пользователей натыкать? упадет лдап и привет…ну не знаю… хочется Вас отговрить , но причины(реальные) не находятся )) по сабжу Синхронизация в самбе вроде имеется ввиду синхронизация пароля после изменения онного юзером, хотя я могу ошибаться, просто точно не помню.
Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)
|
gard |
|
Темы:
66
Сообщения:
1167
Участник с: 15 декабря 2009
|
Пароль синхронизируется при изменении пароля самбой. К примеру у меня юникс-юзер создается изначально с рандомным паролем, затем, когда пользователь заводится в самба, пароль юникс-юзера синхронизируется на пароль от самба. В общем мне синхронизация нужна _только_ для того, чтобы пары юзер/пароль были идентичны для самба и жабер - пользователей. Ну то есть чтобы не делать двойную работу, хотя конечно с учетом того, что пользователей чуть более 10тка - работа небольшая… хотя, есть один момент. Если пользователи хранятся в ejabberd в его внутренней БД, то для того чтобы поменять отображаемое имя юзера, нужно залогиниться им и поменять свои данные. А тут все централизованно.. удобно. ps: сейчас стоит шлюз с роутингом на 2 канала, dhcp, dns, firewall+squid и еще что-то там, который держит сеть и организует связь. Хочу после настройки самбы перевести на самба-комп и шлюз. Есть один ИБП, к тому же делаю на RAID1. Будет 1 шлюз/файлСервер. Вот если он упадет =) |
sleepycat |
|
Темы:
98
Сообщения:
3291
Участник с: 19 июля 2011
|
ну наверно все потому , что я не поднимал серьезно лдап. Когда я думаю о “сверхцентральном” хранении(учеток) у меня всегда все кончается mysql + пара своих не сложных скриптов. Считаю Вашу схему нормальной. По крайней мере ей можно хвалиться после реализации. имхо
Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)
|