Автомонтирование сетевых ресурсов на многоюзерской рабочей станции

То ТЗ реализовано:

слоняющиеся юзеры — ldap + homedir on NFS server
сетевые ресурсы для юзера — nfs + ldap + autofs.

Selinux'овские атрибуты на файлопомойке? А не перебор ли это?

Здесь все-таки минус в том, что везде локально хранится явно описанный перечень серверов. В случае чего придется лазить на каждую станцию и менять конфиг.
Мелочь (в смысле, вряд ли возникнет такая потребность вообще), а не хочется.

Хотя. наверное, можно извернуться и засунуть юзерам в автозапуск строчку, которая получала бы скрипт монтирования с центрального сервера и выполняла бы его.

Такое подобие логон-скрипта в вендовом AD.

В моем случае puppet решает эту проблему

требование заказчика...

autofs5-ldap - LDAP map support for autofs, version 5

которая получала бы скрипт монтирования с центрального сервера

Я ему про это намекал. Но только можно к примеру не сам скрипт получать, а список что, откуда, кому и куда монтировать.

лишнее действие (физическое и логическое),

нет. Потому что если флешки у дворника нет, то ему нужна бумажка с паролем всех дворников, а возможно и со своим личным паролем. Ну и с паролем для уборщиц. Флешка этот вопрос решает, а юзер остаются только ткнуть в нужный ярлык.

возможность утраты (повреждения или утери),

а бумажка с паролем разве на может потеряться? Кроме того, дворник может задать пассфразу, лично свою на общие ключи. Что приведёт к тому, что другой дворник не сможет воспользоваться чужой флешкой. Мало того, ключ можно и отозвать, потому уволенный дворник не сможет воспользоваться своей сохранённой копией. А вот отозвать копию бумажки со всеми паролями невозможно.

возможность утечки,

бумажке с паролями утечь значительно проще. Ключ на флешке может быть уникальным, что позволит админу вычислить утечку, просто погрипав логи на предмет доступа в выходные и т.п.

возможность перепутать флешки разных пользователей (случайная или намеренная).

с паролем всё намного хуже.

В общем, решение может иметь место, но мне не очень нравится.

решения с паролем и всякой биометрией намного менее надёжны. К тому же я их не отрицаю. Просто свой уникальный колюч намного удобнее для всех.

Он будет тут же заменён дублирующим, на время восстановления мастера. Как не было дублирующего?

был. Но два сервера стоят вдвое больше. А работают как один(т.е. Over9000 запросов держат. А Over18000 — увы). Т.е. это конечно хорошо, но дорого.

Наш главный админ придерживается идеи использовать sshfs с авторизацией по ключам, автомонтирование прописать в .bashrc или .bashprofile.

потому он и главный.

А ты все намекаешь...

И что ты будешь делать когда пользователь протеряет/поломает флешку с нужными документами?

ты не понял: никаких документов на флешке нет. Там только ключ. А документы и не покидают сервер. Если юзер теряет ключ, то он идёт к админу, админ удаляет старый ключ, и выдаёт новый. Естественно не бесплатно, флешка на 2Гб стоит 1000 рублей.

Он не хочет резервный

не хочу, но приходится. Увы.

Ах ты ж йопт.
Вот что называется: на виду лежало, а я не замечал.
Только сходу не очень понятно, как это можно прикрутить к группам, а не к юзерам персонально. Надо будет подумать.

это тема jff, просто потрындеть.

ВНЕЗАПНО: как и весь ЛОР для меня.

А ты тут деньги зарабатываешь? И как успехи?

Selinux'овские атрибуты на файлопомойке? А не перебор ли это?

зависит от задачи. На файлопомойке в АНБ именно такие и юзаются.

Ну должен он уже понять, о чем ему говорят практически прямым текстом. Не скрипты же для него писать. Пусть хоть иногда мозгами думает.

нет. Потому что если флешки у дворника нет, то ему нужна бумажка с паролем всех дворников, а возможно и со своим личным паролем.

Один единственный личный пароль он может и запомнить. От учётной записи «Вася» принадлежащей группе «Дворники».

Ну и с паролем для уборщиц

А если у него с уборщицей «Маша» отдельные тёплые отношения, то на работе это сказываться не должно.

бумажке с паролями утечь значительно проще

Поэтому пароль должен быть один. А если дворник Вася не способен запомнить единственный пароль, то в XXI веке ему не место даже в дворниках.

Он будет тут же заменён дублирующим, на время восстановления мастера. Как не было дублирующего?

был. Но два сервера стоят вдвое больше. А работают как один(т.е. Over9000 запросов держат. А Over18000 — увы). Т.е. это конечно хорошо, но дорого.

Вот, кстати, правильное замечание. Держим два сервера: мастер и слейв, и распределяем нагрузку. При выпадении одного все начинают пользоваться оставшимся. Который конечно стонет от нагрузки, но в это время мы быстренько-быстренько покупаем замену издохшему.

Один единственный личный пароль он может и запомнить. От учётной записи «Вася» принадлежащей группе «Дворники».

в таком случае админу придётся поднимать учётку «вася» и группу «дворники» на Over9000 его системах. Или костылить какой-нить ldap. Тоже на всех системах. Или свой костыль...

А если у него с уборщицей «Маша» отдельные тёплые отношения, то на работе это сказываться не должно.

а Маша свои права по любому может делегировать. Это системой доступа не исправить. Увы.

Поэтому пароль должен быть один. А если дворник Вася не способен запомнить единственный пароль, то в XXI веке ему не место даже в дворниках.

запомнить-то он его может... А если надо уволить Петю, как стереть из его головы пароль? Или нужно записать в голову Over9000 Вась новый?

Т.ч. единственный пароль — увы, не подходит.

Вот, кстати, правильное замечание. Держим два сервера: мастер и слейв, и распределяем нагрузку. При выпадении одного все начинают пользоваться оставшимся. Который конечно стонет от нагрузки, но в это время мы быстренько-быстренько покупаем замену издохшему.

ну это не всегда возможно. И обычно неоправданно, т.к. запас мощности обоих серверов должен быть значительным. В идеале — двойным.

Или костылить какой-нить ldap

OK.png

А если надо уволить Петю, как стереть из его головы пароль?

В ldap меняешь на произвольную строку.

т.к. запас мощности обоих серверов должен быть значительным. В идеале — двойным.

Ну если не двойной то будет у них «всё тормозить». Работа-то идти будет.

В ldap меняешь на произвольную строку.

тогда каждому васе нужен свой пароль.

Ну если не двойной то будет у них «всё тормозить». Работа-то идти будет.

это если сама работа позволяет удвоенные тормоза.

И да, меня расстраивает, что сервер загибается, а Over9000 машинок работают с LA==0.

А как иначе? Или у разных пользователей могут быть одинаковые пароли?

И да, меня расстраивает, что сервер загибается, а Over9000 машинок работают с LA==0.

Значит недостаточно правильно подобрано железо. Для печатных машинок железо избыточное а для сервера слабоватое.

А как иначе? Или у разных пользователей могут быть одинаковые пароли?

разные пользователи могут входить в одну учётку по разным ключам. Т.е. делаешь каталог Дворники/, учётку Дворник, но всем дворникам раздаёшь разные ключи.

В итоге документы у всех дворников общие, однако ты всё равно можешь управлять ими по отдельности. Т.е. если васю уволили, ты просто удаляешь васин ключ. А остальные дворники этого не замечают.

Значит недостаточно правильно подобрано железо. Для печатных машинок железо избыточное а для сервера слабоватое.

меня за яйца подвесят, если я для сервера закажу чё-то из TOP500, а юзерам поставлю третий пень (:

Т.е. делаешь каталог Дворники/, учётку Дворник, но всем дворникам раздаёшь разные ключи.

А можешь сделать группу «Дворники», но всем дворникам раздать разные пароли. В чём различие?

А можешь сделать группу «Дворники», но всем дворникам раздать разные пароли. В чём различие?

различие в том, что тебе тогда придётся каждого дворника обучить работе с терминалом, с ssh, с scp, и с прочими rsync. А ещё в том, что 95% это не запомнят, а запишут на бумажке, и бумажку налепят на монитор. Потому что им не платят за безопасность.

придётся каждого дворника обучить работе с терминалом, с ssh, с scp, и с прочими rsync.

ZOMFG!!!11 Да ты прямо иезуит... Нет, пусть лучше логинятся прямо в гном при помощи ldap. А хомяк пусть по сети хранится. И там уже сразу всё...

А за замеченную бумажку можно лишать премии. Не развалятся, запомнят всего один пароль.

Thinstation - не?

А причем тут. Это ж о другом совсем.

Дык, ставь терминальный сервер - пущай все на нем работают, к нему все и маунти - все остальные компы - это консоли.

Помому все остальные решения - костылестроение.

но всем дворникам раздаёшь разные ключи.

Зачем что-то кому-то раздавать? Пальцы всегда при себе. Делайте биометрию. Или вон по биометрическому паспорту пусть логиняться :-)

Дык это тред о костылестроении. Иррационально захотелось обозреть костыли после ночного срача в другой теме.

Понял :)

Нет, пусть лучше логинятся прямо в гном при помощи ldap

ну... Я предложил.

А за замеченную бумажку можно лишать премии. Не развалятся, запомнят всего один пароль.

вряд-ли...

Пальцы всегда при себе.

это как раз плохо. Подделать это легко, а вот если ты палец порезал?

Или вон по биометрическому паспорту пусть логиняться :-)

член и/или сиськи?

Ты не в теме.