LINUX.ORG.RU
ФорумAdmin

Автомонтирование сетевых ресурсов на многоюзерской рабочей станции

 , , , pam-mount


1

2

Привет, ЛОР.
Топик создаю, чтобы формализовать и более-менее серьезно обсудить вопрос из соседней темы, в которой по причине отсутствия читаемой формулировки вопроса закономерно образовался зоопарк, шапито и варьете с гопаком.

Итак. У нас есть сеть. В сети есть ряд (обязательно более одной!) файлопомоек, протокол, допустим, не имеет значения. Есть сервер каталога, авторизующий юзеров.

Юзеры в организации слоняются между рабочими местами туда-сюда совершенно непредсказуемым образом (допустим, это магазин с продавцами, которые постоянно друг друга подменяют, работают по гибкому графику и увольняются раз в неделю, плюс к ним иногда вламывается кто-то из менеджеров и сидит на первом попавшемся компе). Это суровая данность, и никуда от нее не деться.

В каталоге юзеры аккуратно рассованы по некоторому количеству групп.

Допустим, мы хотим, чтобы каждый юзер, в зависимости от членства в группе, получал свой набор смонтированных сетевых ресурсов, прозрачно, не совершая никаких дополнительных действий, сразу после успешного логина.

Как бы вы организовали подобное, чтобы с минимумом действий и максимальной простотой внесения изменений? Очень прошу мало-мальски развернуть ответ, а не тупо скопипастить какой-нибудь из тегов, например.

ЗЫ. А что, теги с нижним подчеркиванием нельзя? Ну и будет теперь дурацкий pam-mount, раз такое дело.

★★★★★

Последнее исправление: thesis (всего исправлений: 2)
Ответ на: комментарий от J

То ТЗ реализовано:

слоняющиеся юзеры — ldap + homedir on NFS server
сетевые ресурсы для юзера — nfs + ldap + autofs.

sdio ★★★★★
()
Ответ на: комментарий от menzoberronzan

Здесь все-таки минус в том, что везде локально хранится явно описанный перечень серверов. В случае чего придется лазить на каждую станцию и менять конфиг.
Мелочь (в смысле, вряд ли возникнет такая потребность вообще), а не хочется.

Хотя. наверное, можно извернуться и засунуть юзерам в автозапуск строчку, которая получала бы скрипт монтирования с центрального сервера и выполняла бы его.

Такое подобие логон-скрипта в вендовом AD.

thesis ★★★★★
() автор топика
Ответ на: комментарий от thesis

которая получала бы скрипт монтирования с центрального сервера

Я ему про это намекал. Но только можно к примеру не сам скрипт получать, а список что, откуда, кому и куда монтировать.

ivanlex ★★★★★
()
Последнее исправление: ivanlex (всего исправлений: 1)
Ответ на: комментарий от sin_a

лишнее действие (физическое и логическое),

нет. Потому что если флешки у дворника нет, то ему нужна бумажка с паролем всех дворников, а возможно и со своим личным паролем. Ну и с паролем для уборщиц. Флешка этот вопрос решает, а юзер остаются только ткнуть в нужный ярлык.

возможность утраты (повреждения или утери),

а бумажка с паролем разве на может потеряться? Кроме того, дворник может задать пассфразу, лично свою на общие ключи. Что приведёт к тому, что другой дворник не сможет воспользоваться чужой флешкой. Мало того, ключ можно и отозвать, потому уволенный дворник не сможет воспользоваться своей сохранённой копией. А вот отозвать копию бумажки со всеми паролями невозможно.

возможность утечки,

бумажке с паролями утечь значительно проще. Ключ на флешке может быть уникальным, что позволит админу вычислить утечку, просто погрипав логи на предмет доступа в выходные и т.п.

возможность перепутать флешки разных пользователей (случайная или намеренная).

с паролем всё намного хуже.

В общем, решение может иметь место, но мне не очень нравится.

решения с паролем и всякой биометрией намного менее надёжны. К тому же я их не отрицаю. Просто свой уникальный колюч намного удобнее для всех.

emulek
()
Ответ на: комментарий от sin_a

Он будет тут же заменён дублирующим, на время восстановления мастера. Как не было дублирующего?

был. Но два сервера стоят вдвое больше. А работают как один(т.е. Over9000 запросов держат. А Over18000 — увы). Т.е. это конечно хорошо, но дорого.

emulek
()
Ответ на: комментарий от vitalyisaev2

Наш главный админ придерживается идеи использовать sshfs с авторизацией по ключам, автомонтирование прописать в .bashrc или .bashprofile.

потому он и главный.

emulek
()
Ответ на: комментарий от user_undefined

И что ты будешь делать когда пользователь протеряет/поломает флешку с нужными документами?

ты не понял: никаких документов на флешке нет. Там только ключ. А документы и не покидают сервер. Если юзер теряет ключ, то он идёт к админу, админ удаляет старый ключ, и выдаёт новый. Естественно не бесплатно, флешка на 2Гб стоит 1000 рублей.

emulek
()
Ответ на: комментарий от ivanlex

Он не хочет резервный

не хочу, но приходится. Увы.

emulek
()
Ответ на: комментарий от sdio

Ах ты ж йопт.
Вот что называется: на виду лежало, а я не замечал.
Только сходу не очень понятно, как это можно прикрутить к группам, а не к юзерам персонально. Надо будет подумать.

thesis ★★★★★
() автор топика
Ответ на: комментарий от J

это тема jff, просто потрындеть.

ВНЕЗАПНО: как и весь ЛОР для меня.

А ты тут деньги зарабатываешь? И как успехи?

emulek
()
Ответ на: комментарий от thesis

Selinux'овские атрибуты на файлопомойке? А не перебор ли это?

зависит от задачи. На файлопомойке в АНБ именно такие и юзаются.

emulek
()
Ответ на: комментарий от thesis

Ну должен он уже понять, о чем ему говорят практически прямым текстом. Не скрипты же для него писать. Пусть хоть иногда мозгами думает.

ivanlex ★★★★★
()
Ответ на: комментарий от emulek

нет. Потому что если флешки у дворника нет, то ему нужна бумажка с паролем всех дворников, а возможно и со своим личным паролем.

Один единственный личный пароль он может и запомнить. От учётной записи «Вася» принадлежащей группе «Дворники».

Ну и с паролем для уборщиц

А если у него с уборщицей «Маша» отдельные тёплые отношения, то на работе это сказываться не должно.

бумажке с паролями утечь значительно проще

Поэтому пароль должен быть один. А если дворник Вася не способен запомнить единственный пароль, то в XXI веке ему не место даже в дворниках.

sin_a ★★★★★
()
Ответ на: комментарий от emulek

Он будет тут же заменён дублирующим, на время восстановления мастера. Как не было дублирующего?

был. Но два сервера стоят вдвое больше. А работают как один(т.е. Over9000 запросов держат. А Over18000 — увы). Т.е. это конечно хорошо, но дорого.

Вот, кстати, правильное замечание. Держим два сервера: мастер и слейв, и распределяем нагрузку. При выпадении одного все начинают пользоваться оставшимся. Который конечно стонет от нагрузки, но в это время мы быстренько-быстренько покупаем замену издохшему.

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

Один единственный личный пароль он может и запомнить. От учётной записи «Вася» принадлежащей группе «Дворники».

в таком случае админу придётся поднимать учётку «вася» и группу «дворники» на Over9000 его системах. Или костылить какой-нить ldap. Тоже на всех системах. Или свой костыль...

А если у него с уборщицей «Маша» отдельные тёплые отношения, то на работе это сказываться не должно.

а Маша свои права по любому может делегировать. Это системой доступа не исправить. Увы.

Поэтому пароль должен быть один. А если дворник Вася не способен запомнить единственный пароль, то в XXI веке ему не место даже в дворниках.

запомнить-то он его может... А если надо уволить Петю, как стереть из его головы пароль? Или нужно записать в голову Over9000 Вась новый?

Т.ч. единственный пароль — увы, не подходит.

emulek
()
Ответ на: комментарий от sin_a

Вот, кстати, правильное замечание. Держим два сервера: мастер и слейв, и распределяем нагрузку. При выпадении одного все начинают пользоваться оставшимся. Который конечно стонет от нагрузки, но в это время мы быстренько-быстренько покупаем замену издохшему.

ну это не всегда возможно. И обычно неоправданно, т.к. запас мощности обоих серверов должен быть значительным. В идеале — двойным.

emulek
()
Ответ на: комментарий от emulek

Или костылить какой-нить ldap

OK.png

А если надо уволить Петю, как стереть из его головы пароль?

В ldap меняешь на произвольную строку.

sin_a ★★★★★
()
Ответ на: комментарий от emulek

т.к. запас мощности обоих серверов должен быть значительным. В идеале — двойным.

Ну если не двойной то будет у них «всё тормозить». Работа-то идти будет.

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

Ну если не двойной то будет у них «всё тормозить». Работа-то идти будет.

это если сама работа позволяет удвоенные тормоза.

И да, меня расстраивает, что сервер загибается, а Over9000 машинок работают с LA==0.

emulek
()
Ответ на: комментарий от emulek

И да, меня расстраивает, что сервер загибается, а Over9000 машинок работают с LA==0.

Значит недостаточно правильно подобрано железо. Для печатных машинок железо избыточное а для сервера слабоватое.

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

А как иначе? Или у разных пользователей могут быть одинаковые пароли?

разные пользователи могут входить в одну учётку по разным ключам. Т.е. делаешь каталог Дворники/, учётку Дворник, но всем дворникам раздаёшь разные ключи.

В итоге документы у всех дворников общие, однако ты всё равно можешь управлять ими по отдельности. Т.е. если васю уволили, ты просто удаляешь васин ключ. А остальные дворники этого не замечают.

emulek
()
Ответ на: комментарий от sin_a

Значит недостаточно правильно подобрано железо. Для печатных машинок железо избыточное а для сервера слабоватое.

меня за яйца подвесят, если я для сервера закажу чё-то из TOP500, а юзерам поставлю третий пень (:

emulek
()
Ответ на: комментарий от emulek

Т.е. делаешь каталог Дворники/, учётку Дворник, но всем дворникам раздаёшь разные ключи.

А можешь сделать группу «Дворники», но всем дворникам раздать разные пароли. В чём различие?

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

А можешь сделать группу «Дворники», но всем дворникам раздать разные пароли. В чём различие?

различие в том, что тебе тогда придётся каждого дворника обучить работе с терминалом, с ssh, с scp, и с прочими rsync. А ещё в том, что 95% это не запомнят, а запишут на бумажке, и бумажку налепят на монитор. Потому что им не платят за безопасность.

emulek
()
Ответ на: комментарий от emulek

придётся каждого дворника обучить работе с терминалом, с ssh, с scp, и с прочими rsync.

ZOMFG!!!11 Да ты прямо иезуит... Нет, пусть лучше логинятся прямо в гном при помощи ldap. А хомяк пусть по сети хранится. И там уже сразу всё...

А за замеченную бумажку можно лишать премии. Не развалятся, запомнят всего один пароль.

sin_a ★★★★★
()
Ответ на: комментарий от thesis

Дык, ставь терминальный сервер - пущай все на нем работают, к нему все и маунти - все остальные компы - это консоли.

Помому все остальные решения - костылестроение.

aeX1pu2b
()
Ответ на: комментарий от emulek

но всем дворникам раздаёшь разные ключи.

Зачем что-то кому-то раздавать? Пальцы всегда при себе. Делайте биометрию. Или вон по биометрическому паспорту пусть логиняться :-)

sdio ★★★★★
()
Ответ на: комментарий от aeX1pu2b

Дык это тред о костылестроении. Иррационально захотелось обозреть костыли после ночного срача в другой теме.

thesis ★★★★★
() автор топика
Ответ на: комментарий от sin_a

Нет, пусть лучше логинятся прямо в гном при помощи ldap

ну... Я предложил.

А за замеченную бумажку можно лишать премии. Не развалятся, запомнят всего один пароль.

вряд-ли...

emulek
()
Ответ на: комментарий от sdio

Или вон по биометрическому паспорту пусть логиняться :-)

член и/или сиськи?

emulek
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.