форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Др. сетевые сервисы / Linux)
Изначальное сообщение		[ Отслеживать ]

"Организация удаленных терминалов"	+/–
Сообщение от GlooM (??) on 18-Мрт-13, 16:12
Здравствуйте. В кратце обрисую задачу. В наличие имеется ЛВС из определенного количества компов (около 300), доступ у пользователей к данной сетке организован исключительно внутренний - сетевые принтеры, файлохранилище, корпоративная почта, чат, документооборот итд, никакого доступа в интернет по режимным соображениям им не разрешено. Также имеется вторая группа пользователей, которым инет позволен (ходят через сквид), но речь не о них. Возникло предложение организовать сервер с какой-нибудь убунтой, поднять там иксы, насоздавать на нем учетных записей для первой категории лиц, и дать им доступ через VNC к раб-столу сервера, а сервер выпустить в инет. Таким образом они смогут пользоваться интернетом, при этом, непосредственно их рабочие станции, остаются с ограниченным доступом. Теперь вопрос: как лучше организовать ведение логов (кто и что посмотрел в инете) для этого сервера? Ведь сквид увидит только IP сервера, а из под какой учетной записи сделан конкретный запрос сквид никак не догадается. Полагаю, что потребуется поднятие какого-то локального еще одного прокси, который будет вести свои логи и уже привязывать их как-то к именам пользователей. Как лучше это сделать??? Желательно не загружать пользователей большим количеством разнообразных мест, где потребуется ввод логина с паролем. Может есть какие-нибудь альтернативные варианты, типа проги, которая от имени рута отслеживает из под какого имени юзера запущен PID-браузера и сопоставляет в логе запрос с этим именем?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Организация удаленных терминалов"	+/–
Сообщение от ALex_hha (ok) on 18-Мрт-13, 18:27
Если есть AD (а при 'из определенного количества компов (около 300)' он должен быть) настройте интеграцию с AD, тогда в логах будете видеть имя. Но это лишь http. А все остальное вас не интересует?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Организация удаленных терминалов"	+/–
	Сообщение от GlooM (??) on 18-Мрт-13, 19:45
	> Если есть AD (а при 'из определенного количества компов (около 300)' он > должен быть) настройте интеграцию с AD, тогда в логах будете видеть > имя. Но это лишь http. А все остальное вас не интересует? Никаких доменов нет в связи с тем, что политика ограничения пользовательских рабочих мест не требуется - мы просто отсекли их от инета, а у себя на компах делают что хотят. http + https. Остальное запрещено (асечки\вконтакты - через джабер-транспорты). https сквид умеет проксировать в непрозрачном режиме. Почта - только корпоративный сервер. Остальное запрещено полностью. АД - конечно, можно было поднять, но в том случае, если каждый пользователь авторизовывался и лазил по инету со своего компа. Тут же - они коннектятся к удаленке, и уже с нее пользуются. То есть учетные записи локальные.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	15. "Организация удаленных терминалов"	+/–
	Сообщение от Miha (??) on 19-Мрт-13, 10:03
	>> Если есть AD (а при 'из определенного количества компов (около 300)' он >> должен быть) настройте интеграцию с AD, тогда в логах будете видеть >> имя. Но это лишь http. А все остальное вас не интересует? > Никаких доменов нет в связи с тем, что политика ограничения пользовательских рабочих > мест не требуется - мы просто отсекли их от инета, а > у себя на компах делают что хотят. И это вы называете "режимные соображения". Вы не последовательны. Если ужимать с точки зрения "режимности" так уже комплексно. Кстати АД вы рассматриваете как нечто, повышабщее безопаснсоть. Вы ошибаетесь. Это скорее удобство администрирования для вас, от которого вы отказываетесь.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "Организация удаленных терминалов"	+/–
Сообщение от Mr. Mistoffelees on 18-Мрт-13, 19:07
Привет, Хотелось бы мне увидеть некую убунту, которя может выдержать 300 одновременных терминальных сесий... и еще, VNC - это всегда связь к одной и той же Х-сессии. А вам надf, чтобы у каждого была своя, да...? Не стануть же все из одной аськи говорить и одной записью ВК пользоваться... WWell,
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Организация удаленных терминалов"	+/–
	Сообщение от GlooM (??) on 18-Мрт-13, 19:47
	> Привет, > Хотелось бы мне увидеть некую убунту, которя может выдержать 300 одновременных терминальных > сесий... и еще, VNC - это всегда связь к одной и > той же Х-сессии. А вам надf, чтобы у каждого была своя, > да...? Не стануть же все из одной аськи говорить и одной > записью ВК пользоваться... > WWell, 1) 300 одновременно не будет - это общее количество, а не одновременно активное. 2) Х-сессия своя для каждой внутренней пользовательской учетной записи. Планирую сделать по этому мануалу http://habrahabr.ru/post/77159/ пункт 3.3 "3.3 VNC-сервер, запускаемый через inetd" "Существует возможность стартовать VNC-сервер только по требованию — при подключении VNC-клиента. Для этого порт VNC-сервера 5900 передается на обслуживание демону inetd. Пока нет ни одного подключенного VNC-клиента, ни один VNC-сервер запущен не будет. При поступлении запроса на соединении со стороны клиента, inetd запускает VNC-сервер и связывает клиента с ним. VNC-сервер создает дисплей и начинает рабочую сессию. После отключения клиента, VNC-сервер закрывает сессию и завершает все программы, работающие с дисплеем. При подключении к одному и тому же порту нескольких клиентов, для каждого будет запущен отдельный VNC-серверов с собственным дисплеем. Таким образом, у всех подключенных клиентов будут открыты независимые рабочие сессии. Это позволяет с помощью аутентификации через GDM легко настроить систему на многопользовательскую работу — после соединения запрашиваются логин и пароль пользователя виртуального сервера, после их правильного ввода будет начата рабочая сессия этого пользователя. "
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Организация удаленных терминалов"	+/–
	Сообщение от ALex_hha (ok) on 18-Мрт-13, 19:59
	А одновременно сколько работает?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Организация удаленных терминалов"	+/–
	Сообщение от Дядя_Федор on 18-Мрт-13, 20:06
	По поводу логгирования, подумалось. Как вариант, можно поднять SQUID с авторизацией и sarg в качестве разборщика логов прокси. Заодно там можно лимит трафика на каждого юзверя давать (если есть необходимость, разумеется). Но это, опять же - http. А вот чтобы полноценно контролировать - нужно некое подобие самопального биллинга городить. Как вариант - купить UTM (если от слова "купить" идионсинкразиии не возникает) или Lan Billing. Как варианты самых бюджетных биллингов. Из бесплатных вроде как SAMS есть.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Организация удаленных терминалов"	+/–
	Сообщение от GlooM (??) on 18-Мрт-13, 20:14
	> По поводу логгирования, подумалось. Как вариант, можно поднять SQUID с авторизацией и > sarg в качестве разборщика логов прокси. Заодно там можно лимит трафика > на каждого юзверя давать (если есть необходимость, разумеется). Но это, опять > же - http. А вот чтобы полноценно контролировать - нужно некое > подобие самопального биллинга городить. Как вариант - купить UTM (если от > слова "купить" идионсинкразиии не возникает) или Lan Billing. Как варианты самых > бюджетных биллингов. Из бесплатных вроде как SAMS есть. По поводу разборки сквид логов проблем нет. Главное видеть http и https, остальное мы либо не пропустим, либо увидим в логах почтового и джабер сервера. Вариант сквид с авторизацией, как раз, интересует больше всего. Как его заставить работать так, чтоб он показывал имя пользовательской ЛОКАЛЬНОЙ учетной записи запросившей веб-страницу, при том условии, что пользователь сидит по удаленке в этой учетной записи (браузер запущен из под нее) и сквид работает на ЭТОЙ ЖЕ машине.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Организация удаленных терминалов"	+/–
	Сообщение от Дядя_Федор on 18-Мрт-13, 20:23
	Я не совсем это имел в виду. То, как это выглядело в одной фирме (достаточно известной) - выглядело так (я тогда еще не админил, а "инженерил"). Выход в Интернет осуществлялся через прокси (заданном в браузере). Прежде, чем выйти на страницу - пользователь вводит логин и пароль. И только после авторизации попадает в Интернет (авторизация, разумеется, только при первом запросе). То есть - авторизация происходит средствами SQUID. А учет трафика squid - cредствами sarg. Вот где-то так.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Организация удаленных терминалов"	+/–
	Сообщение от Дядя_Федор on 18-Мрт-13, 20:26
	Подумалось - никто ведь Вам не запрещает иметь прокси на ЛОКАЛЬНОМ (относительно сеанса пользователя) сервере. Привязать логины/пароли сквида к системным, думаю, вполне возможно. Сам, правда, с подобным не заморачивался, необходимости не было.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Организация удаленных терминалов"	+/–
	Сообщение от GlooM (??) on 19-Мрт-13, 00:35
	Привязать логины/пароли сквида к системным, думаю, вполне > возможно Именно это меня интересует в большей степени.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	12. "Организация удаленных терминалов"	+/–
	Сообщение от pavlinux (ok) on 19-Мрт-13, 04:10
	VNC ваще корявый протокол, на фулскрине 3-4 fps, больше не потянет. А при 4-5 юзерах, работа ваще не возможна.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	16. "Организация удаленных терминалов"	+/–
	Сообщение от GlooM (??) on 19-Мрт-13, 11:07
	> VNC ваще корявый протокол, на фулскрине 3-4 fps, больше не потянет. > А при 4-5 юзерах, работа ваще не возможна. Сделал вместо VNC xrdp+x11rdp, потестил на пяти подключения к виртуальной машине - вроде все ок. Осталось только логирование прикрутить
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

11. "Организация удаленных терминалов"	+/–
Сообщение от pavlinux (ok) on 19-Мрт-13, 03:49
> Возникло предложение организовать сервер с какой-нибудь убунтой, поднять там иксы, > насоздавать на нем учетных записей для первой категории лиц, и дать им > доступ через VNC к раб-столу сервера, а сервер выпустить в инет. Это ещё фигня, мы для каждого юзера отдельную виртуалку клонировали и там он пускался! Авторизация была по смарт-карте, на спец.-терминале. При вынимании карты, всё уничтожалось. Можно на обычном компе, пускать как VNC-клиента с авторизацией в БД. Вместо карты - пароль. В каждой виртуалке висел демон, который общался с модулем ядра. Можно логировать каждый syscall. Не выходя из дома смотреть, чё там сейчас юзерь делает, на какой порносайт дрочит...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "Организация удаленных терминалов"	–1 +/–
	Сообщение от Аноним (??) on 19-Мрт-13, 05:46
	> Это ещё фигня, мы для каждого юзера отдельную виртуалку клонировали Ныне модно гордиться тупостью. Тебе павлин - реально есть чем по-гордиться.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	19. "Организация удаленных терминалов"	+/–
	Сообщение от pavlinux (ok) on 19-Мрт-13, 17:33
	>> Это ещё фигня, мы для каждого юзера отдельную виртуалку клонировали > Ныне модно гордиться тупостью. Тебе павлин - реально есть чем по-гордиться. После таких коментов совершенно не хочется объяснять требования и причины создания каждой сессии в виртуалке. Напишу просто - ты раз в 100 более тупее, чем думаешь обо мне. :D
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Организация удаленных терминалов"	+1 +/–
Сообщение от Батяня Комбат on 19-Мрт-13, 06:02
> В кратце обрисую задачу. > ... никакого доступа в интернет по режимным соображениям им не разрешено. Тут слово "режимным" - так для красного словца? Или мы в реале наблюдаем идиота с азартом зарабатывающего срок? PS: Как только дашь любой доступ юзеру к юниксу подключенному в интернет ... натянут твой режим - ПО САМЫЕ ГЛАНДЫ НАТЯНУТ. Dante\StyxProxy\100500 других, да хоть даже connect.c с сайта одного широко известного в узких кругах японца :) Ну а какого хрена ты хотел боец? 40 лет лучшие хакеры делали в нём сеть - а ты типо всё перекроешь. VNC-ёй - ага. Сухари суши да беломором запасайся.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "Организация удаленных терминалов"	+/–
	Сообщение от GlooM (??) on 19-Мрт-13, 11:08
	>> В кратце обрисую задачу. >> ... никакого доступа в интернет по режимным соображениям им не разрешено. > Тут слово "режимным" - так для красного словца? > Или мы в реале наблюдаем идиота с азартом зарабатывающего срок? Внутренний по предприятию режим, а не тот за который мальчики и девочки в форме нагибают.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	18. "Организация удаленных терминалов"	+/–
	Сообщение от GlooM (??) on 19-Мрт-13, 11:10
	>> В кратце обрисую задачу. > PS: Как только дашь любой доступ юзеру к юниксу подключенному в интернет > ... натянут твой режим - ПО САМЫЕ ГЛАНДЫ НАТЯНУТ. Пускай натягивают. Один хрен ничего кроме хттп им не разрешено, даже с этого удаленного сервера (и то, проксированного, а не напрямую порт 80). Над любителями поднимать туннели и подключаться к проксям угорали неоднократно уже.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема