The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Организация удаленных терминалов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Др. сетевые сервисы / Linux)
Изначальное сообщение [ Отслеживать ]

"Организация удаленных терминалов"  +/
Сообщение от GlooM (??) on 18-Мрт-13, 16:12 
Здравствуйте.

В кратце обрисую задачу.
В наличие имеется ЛВС из определенного количества компов (около 300), доступ у пользователей к данной сетке организован исключительно внутренний - сетевые принтеры, файлохранилище, корпоративная почта, чат, документооборот итд, никакого доступа в интернет по режимным соображениям им не разрешено. Также имеется вторая группа пользователей, которым инет позволен (ходят через сквид), но речь не о них.
Возникло предложение организовать сервер с какой-нибудь убунтой, поднять там иксы, насоздавать на нем учетных записей для первой категории лиц, и дать им доступ через VNC к раб-столу сервера, а сервер выпустить в инет. Таким образом они смогут пользоваться интернетом, при этом, непосредственно их рабочие станции, остаются с ограниченным доступом.
Теперь вопрос: как лучше организовать ведение логов (кто и что посмотрел в инете) для этого сервера? Ведь сквид увидит только IP сервера, а из под какой учетной записи сделан конкретный запрос сквид никак не догадается. Полагаю, что потребуется поднятие какого-то локального еще одного прокси, который будет вести свои логи и уже привязывать их как-то к именам пользователей. Как лучше это сделать??? Желательно не загружать пользователей большим количеством разнообразных мест, где потребуется ввод логина с паролем. Может есть какие-нибудь альтернативные варианты, типа проги, которая от имени рута отслеживает из под какого имени юзера запущен PID-браузера и сопоставляет в логе запрос с этим именем?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Организация удаленных терминалов"  +/
Сообщение от ALex_hha (ok) on 18-Мрт-13, 18:27 
Если есть AD (а при 'из определенного количества компов (около 300)' он должен быть) настройте интеграцию с AD, тогда в логах будете видеть имя. Но это лишь http. А все остальное вас не интересует?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Организация удаленных терминалов"  +/
Сообщение от GlooM (??) on 18-Мрт-13, 19:45 
> Если есть AD (а при 'из определенного количества компов (около 300)' он
> должен быть) настройте интеграцию с AD, тогда в логах будете видеть
> имя. Но это лишь http. А все остальное вас не интересует?

Никаких доменов нет в связи с тем, что политика ограничения пользовательских рабочих мест не требуется - мы просто отсекли их от инета, а у себя на компах делают что хотят.

http + https. Остальное запрещено (асечки\вконтакты - через джабер-транспорты). https сквид умеет проксировать в непрозрачном режиме. Почта - только корпоративный сервер. Остальное запрещено полностью.

АД - конечно, можно было поднять, но в том случае, если каждый пользователь авторизовывался и лазил по инету со своего компа. Тут же - они коннектятся к удаленке, и уже с нее пользуются. То есть учетные записи локальные.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Организация удаленных терминалов"  +/
Сообщение от Miha (??) on 19-Мрт-13, 10:03 
>> Если есть AD (а при 'из определенного количества компов (около 300)' он
>> должен быть) настройте интеграцию с AD, тогда в логах будете видеть
>> имя. Но это лишь http. А все остальное вас не интересует?
> Никаких доменов нет в связи с тем, что политика ограничения пользовательских рабочих
> мест не требуется - мы просто отсекли их от инета, а
> у себя на компах делают что хотят.

И это вы называете "режимные соображения". Вы не последовательны.
Если ужимать с точки зрения "режимности" так уже комплексно. Кстати АД вы рассматриваете как нечто, повышабщее безопаснсоть. Вы ошибаетесь. Это скорее удобство администрирования для вас, от которого вы отказываетесь.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "Организация удаленных терминалов"  +/
Сообщение от Mr. Mistoffelees email on 18-Мрт-13, 19:07 
Привет,

Хотелось бы мне увидеть некую убунту, которя может выдержать 300 одновременных терминальных сесий... и еще, VNC - это всегда связь к одной и той же Х-сессии. А вам надf, чтобы у каждого была своя, да...? Не стануть же все из одной аськи говорить и одной записью ВК пользоваться...

WWell,


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Организация удаленных терминалов"  +/
Сообщение от GlooM (??) on 18-Мрт-13, 19:47 
> Привет,
> Хотелось бы мне увидеть некую убунту, которя может выдержать 300 одновременных терминальных
> сесий... и еще, VNC - это всегда связь к одной и
> той же Х-сессии. А вам надf, чтобы у каждого была своя,
> да...? Не стануть же все из одной аськи говорить и одной
> записью ВК пользоваться...
> WWell,

1) 300 одновременно не будет - это общее количество, а не одновременно активное.
2) Х-сессия своя для каждой внутренней пользовательской учетной записи. Планирую сделать по этому мануалу http://habrahabr.ru/post/77159/ пункт 3.3 "3.3 VNC-сервер, запускаемый через inetd"

"Существует возможность стартовать VNC-сервер только по требованию — при подключении VNC-клиента. Для этого порт VNC-сервера 5900 передается на обслуживание демону inetd. Пока нет ни одного подключенного VNC-клиента, ни один VNC-сервер запущен не будет. При поступлении запроса на соединении со стороны клиента, inetd запускает VNC-сервер и связывает клиента с ним. VNC-сервер создает дисплей и начинает рабочую сессию. После отключения клиента, VNC-сервер закрывает сессию и завершает все программы, работающие с дисплеем.

При подключении к одному и тому же порту нескольких клиентов, для каждого будет запущен отдельный VNC-серверов с собственным дисплеем. Таким образом, у всех подключенных клиентов будут открыты независимые рабочие сессии. Это позволяет с помощью аутентификации через GDM легко настроить систему на многопользовательскую работу — после соединения запрашиваются логин и пароль пользователя виртуального сервера, после их правильного ввода будет начата рабочая сессия этого пользователя. "

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Организация удаленных терминалов"  +/
Сообщение от ALex_hha (ok) on 18-Мрт-13, 19:59 
А одновременно сколько работает?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Организация удаленных терминалов"  +/
Сообщение от Дядя_Федор on 18-Мрт-13, 20:06 
По поводу логгирования, подумалось. Как вариант, можно поднять SQUID с авторизацией и sarg в качестве разборщика логов прокси. Заодно там можно лимит трафика на каждого юзверя давать (если есть необходимость, разумеется). Но это, опять же - http. А вот чтобы полноценно контролировать - нужно некое подобие самопального биллинга городить. Как вариант - купить UTM (если от слова "купить" идионсинкразиии не возникает) или Lan Billing. Как варианты самых бюджетных биллингов. Из бесплатных вроде как SAMS есть.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Организация удаленных терминалов"  +/
Сообщение от GlooM (??) on 18-Мрт-13, 20:14 
> По поводу логгирования, подумалось. Как вариант, можно поднять SQUID с авторизацией и
> sarg в качестве разборщика логов прокси. Заодно там можно лимит трафика
> на каждого юзверя давать (если есть необходимость, разумеется). Но это, опять
> же - http. А вот чтобы полноценно контролировать - нужно некое
> подобие самопального биллинга городить. Как вариант - купить UTM (если от
> слова "купить" идионсинкразиии не возникает) или Lan Billing. Как варианты самых
> бюджетных биллингов. Из бесплатных вроде как SAMS есть.

По поводу разборки сквид логов проблем нет. Главное видеть http и https, остальное мы либо не пропустим, либо увидим в логах почтового и джабер сервера.
Вариант сквид с авторизацией, как раз, интересует больше всего. Как его заставить работать так, чтоб он показывал имя пользовательской ЛОКАЛЬНОЙ учетной записи запросившей веб-страницу, при том условии, что пользователь сидит по удаленке в этой учетной записи (браузер запущен из под нее) и сквид работает на ЭТОЙ ЖЕ машине.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Организация удаленных терминалов"  +/
Сообщение от Дядя_Федор on 18-Мрт-13, 20:23 
Я не совсем это имел в виду. То, как это выглядело в одной фирме (достаточно известной) - выглядело так (я тогда еще не админил, а "инженерил"). Выход в Интернет осуществлялся через прокси (заданном в браузере). Прежде, чем выйти на страницу - пользователь вводит логин и пароль. И только после авторизации попадает в Интернет (авторизация, разумеется, только при первом запросе). То есть - авторизация происходит средствами SQUID. А учет трафика squid - cредствами sarg. Вот где-то так.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Организация удаленных терминалов"  +/
Сообщение от Дядя_Федор on 18-Мрт-13, 20:26 
Подумалось - никто ведь Вам не запрещает иметь прокси на ЛОКАЛЬНОМ (относительно сеанса пользователя) сервере. Привязать логины/пароли сквида к системным, думаю, вполне возможно. Сам, правда, с подобным не заморачивался, необходимости не было.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Организация удаленных терминалов"  +/
Сообщение от GlooM (??) on 19-Мрт-13, 00:35 
Привязать логины/пароли сквида к системным, думаю, вполне
> возможно

Именно это меня интересует в большей степени.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Организация удаленных терминалов"  +/
Сообщение от pavlinux (ok) on 19-Мрт-13, 04:10 
VNC ваще корявый протокол, на фулскрине 3-4 fps, больше не потянет.
А при 4-5 юзерах, работа ваще не возможна.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "Организация удаленных терминалов"  +/
Сообщение от GlooM (??) on 19-Мрт-13, 11:07 
> VNC ваще корявый протокол, на фулскрине 3-4 fps, больше не потянет.
> А при 4-5 юзерах, работа ваще не возможна.

Сделал вместо VNC xrdp+x11rdp, потестил на пяти подключения к виртуальной машине - вроде все ок. Осталось только логирование прикрутить

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

11. "Организация удаленных терминалов"  +/
Сообщение от pavlinux (ok) on 19-Мрт-13, 03:49 
> Возникло предложение организовать сервер с какой-нибудь убунтой, поднять там иксы,
> насоздавать на нем учетных записей для первой категории лиц, и дать им
> доступ через VNC к раб-столу сервера, а сервер выпустить в инет.

Это ещё фигня, мы для каждого юзера отдельную виртуалку клонировали и там он пускался!
Авторизация была по смарт-карте, на спец.-терминале. При вынимании карты, всё уничтожалось.

Можно на обычном компе, пускать как VNC-клиента с авторизацией в БД. Вместо карты - пароль.
В каждой виртуалке висел демон, который общался с модулем ядра. Можно логировать каждый syscall.
Не выходя из дома смотреть, чё там сейчас юзерь делает, на какой порносайт дрочит...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Организация удаленных терминалов"  –1 +/
Сообщение от Аноним (??) on 19-Мрт-13, 05:46 
> Это ещё фигня, мы для каждого юзера отдельную виртуалку клонировали

Ныне модно гордиться тупостью. Тебе павлин - реально есть чем по-гордиться.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Организация удаленных терминалов"  +/
Сообщение от pavlinux (ok) on 19-Мрт-13, 17:33 
>> Это ещё фигня, мы для каждого юзера отдельную виртуалку клонировали
> Ныне модно гордиться тупостью. Тебе павлин - реально есть чем по-гордиться.

После таких коментов совершенно не хочется объяснять требования
и причины создания каждой сессии в виртуалке.

Напишу просто - ты раз в 100 более тупее, чем думаешь обо мне. :D

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Организация удаленных терминалов"  +1 +/
Сообщение от Батяня Комбат on 19-Мрт-13, 06:02 
> В кратце обрисую задачу.
> ... никакого доступа в интернет по режимным соображениям им не разрешено.

Тут слово "режимным" - так для красного словца?
Или мы в реале наблюдаем идиота с азартом зарабатывающего срок?

PS: Как только дашь любой доступ юзеру к юниксу подключенному в интернет ... натянут твой режим - ПО САМЫЕ ГЛАНДЫ НАТЯНУТ.
Dante\StyxProxy\100500 других, да хоть даже connect.c с сайта одного широко известного в узких кругах японца :)
Ну а какого хрена ты хотел боец? 40 лет лучшие хакеры делали в нём сеть - а ты типо всё перекроешь. VNC-ёй - ага. Сухари суши да беломором запасайся.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Организация удаленных терминалов"  +/
Сообщение от GlooM (??) on 19-Мрт-13, 11:08 
>> В кратце обрисую задачу.
>> ... никакого доступа в интернет по режимным соображениям им не разрешено.
> Тут слово "режимным" - так для красного словца?
> Или мы в реале наблюдаем идиота с азартом зарабатывающего срок?

Внутренний по предприятию режим, а не тот за который мальчики и девочки в форме нагибают.


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Организация удаленных терминалов"  +/
Сообщение от GlooM (??) on 19-Мрт-13, 11:10 
>> В кратце обрисую задачу.
> PS: Как только дашь любой доступ юзеру к юниксу подключенному в интернет
> ... натянут твой режим - ПО САМЫЕ ГЛАНДЫ НАТЯНУТ.

Пускай натягивают. Один хрен ничего кроме хттп им не разрешено, даже с этого удаленного сервера (и то, проксированного, а не напрямую порт 80). Над любителями поднимать туннели и подключаться к проксям угорали неоднократно уже.


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру