Здравствуйте.В кратце обрисую задачу.
В наличие имеется ЛВС из определенного количества компов (около 300), доступ у пользователей к данной сетке организован исключительно внутренний - сетевые принтеры, файлохранилище, корпоративная почта, чат, документооборот итд, никакого доступа в интернет по режимным соображениям им не разрешено. Также имеется вторая группа пользователей, которым инет позволен (ходят через сквид), но речь не о них.
Возникло предложение организовать сервер с какой-нибудь убунтой, поднять там иксы, насоздавать на нем учетных записей для первой категории лиц, и дать им доступ через VNC к раб-столу сервера, а сервер выпустить в инет. Таким образом они смогут пользоваться интернетом, при этом, непосредственно их рабочие станции, остаются с ограниченным доступом.
Теперь вопрос: как лучше организовать ведение логов (кто и что посмотрел в инете) для этого сервера? Ведь сквид увидит только IP сервера, а из под какой учетной записи сделан конкретный запрос сквид никак не догадается. Полагаю, что потребуется поднятие какого-то локального еще одного прокси, который будет вести свои логи и уже привязывать их как-то к именам пользователей. Как лучше это сделать??? Желательно не загружать пользователей большим количеством разнообразных мест, где потребуется ввод логина с паролем. Может есть какие-нибудь альтернативные варианты, типа проги, которая от имени рута отслеживает из под какого имени юзера запущен PID-браузера и сопоставляет в логе запрос с этим именем?
Если есть AD (а при 'из определенного количества компов (около 300)' он должен быть) настройте интеграцию с AD, тогда в логах будете видеть имя. Но это лишь http. А все остальное вас не интересует?
> Если есть AD (а при 'из определенного количества компов (около 300)' он
> должен быть) настройте интеграцию с AD, тогда в логах будете видеть
> имя. Но это лишь http. А все остальное вас не интересует?Никаких доменов нет в связи с тем, что политика ограничения пользовательских рабочих мест не требуется - мы просто отсекли их от инета, а у себя на компах делают что хотят.
http + https. Остальное запрещено (асечки\вконтакты - через джабер-транспорты). https сквид умеет проксировать в непрозрачном режиме. Почта - только корпоративный сервер. Остальное запрещено полностью.
АД - конечно, можно было поднять, но в том случае, если каждый пользователь авторизовывался и лазил по инету со своего компа. Тут же - они коннектятся к удаленке, и уже с нее пользуются. То есть учетные записи локальные.
>> Если есть AD (а при 'из определенного количества компов (около 300)' он
>> должен быть) настройте интеграцию с AD, тогда в логах будете видеть
>> имя. Но это лишь http. А все остальное вас не интересует?
> Никаких доменов нет в связи с тем, что политика ограничения пользовательских рабочих
> мест не требуется - мы просто отсекли их от инета, а
> у себя на компах делают что хотят.И это вы называете "режимные соображения". Вы не последовательны.
Если ужимать с точки зрения "режимности" так уже комплексно. Кстати АД вы рассматриваете как нечто, повышабщее безопаснсоть. Вы ошибаетесь. Это скорее удобство администрирования для вас, от которого вы отказываетесь.
Привет,Хотелось бы мне увидеть некую убунту, которя может выдержать 300 одновременных терминальных сесий... и еще, VNC - это всегда связь к одной и той же Х-сессии. А вам надf, чтобы у каждого была своя, да...? Не стануть же все из одной аськи говорить и одной записью ВК пользоваться...
WWell,
> Привет,
> Хотелось бы мне увидеть некую убунту, которя может выдержать 300 одновременных терминальных
> сесий... и еще, VNC - это всегда связь к одной и
> той же Х-сессии. А вам надf, чтобы у каждого была своя,
> да...? Не стануть же все из одной аськи говорить и одной
> записью ВК пользоваться...
> WWell,1) 300 одновременно не будет - это общее количество, а не одновременно активное.
2) Х-сессия своя для каждой внутренней пользовательской учетной записи. Планирую сделать по этому мануалу http://habrahabr.ru/post/77159/ пункт 3.3 "3.3 VNC-сервер, запускаемый через inetd""Существует возможность стартовать VNC-сервер только по требованию — при подключении VNC-клиента. Для этого порт VNC-сервера 5900 передается на обслуживание демону inetd. Пока нет ни одного подключенного VNC-клиента, ни один VNC-сервер запущен не будет. При поступлении запроса на соединении со стороны клиента, inetd запускает VNC-сервер и связывает клиента с ним. VNC-сервер создает дисплей и начинает рабочую сессию. После отключения клиента, VNC-сервер закрывает сессию и завершает все программы, работающие с дисплеем.
При подключении к одному и тому же порту нескольких клиентов, для каждого будет запущен отдельный VNC-серверов с собственным дисплеем. Таким образом, у всех подключенных клиентов будут открыты независимые рабочие сессии. Это позволяет с помощью аутентификации через GDM легко настроить систему на многопользовательскую работу — после соединения запрашиваются логин и пароль пользователя виртуального сервера, после их правильного ввода будет начата рабочая сессия этого пользователя. "
А одновременно сколько работает?
По поводу логгирования, подумалось. Как вариант, можно поднять SQUID с авторизацией и sarg в качестве разборщика логов прокси. Заодно там можно лимит трафика на каждого юзверя давать (если есть необходимость, разумеется). Но это, опять же - http. А вот чтобы полноценно контролировать - нужно некое подобие самопального биллинга городить. Как вариант - купить UTM (если от слова "купить" идионсинкразиии не возникает) или Lan Billing. Как варианты самых бюджетных биллингов. Из бесплатных вроде как SAMS есть.
> По поводу логгирования, подумалось. Как вариант, можно поднять SQUID с авторизацией и
> sarg в качестве разборщика логов прокси. Заодно там можно лимит трафика
> на каждого юзверя давать (если есть необходимость, разумеется). Но это, опять
> же - http. А вот чтобы полноценно контролировать - нужно некое
> подобие самопального биллинга городить. Как вариант - купить UTM (если от
> слова "купить" идионсинкразиии не возникает) или Lan Billing. Как варианты самых
> бюджетных биллингов. Из бесплатных вроде как SAMS есть.По поводу разборки сквид логов проблем нет. Главное видеть http и https, остальное мы либо не пропустим, либо увидим в логах почтового и джабер сервера.
Вариант сквид с авторизацией, как раз, интересует больше всего. Как его заставить работать так, чтоб он показывал имя пользовательской ЛОКАЛЬНОЙ учетной записи запросившей веб-страницу, при том условии, что пользователь сидит по удаленке в этой учетной записи (браузер запущен из под нее) и сквид работает на ЭТОЙ ЖЕ машине.
Я не совсем это имел в виду. То, как это выглядело в одной фирме (достаточно известной) - выглядело так (я тогда еще не админил, а "инженерил"). Выход в Интернет осуществлялся через прокси (заданном в браузере). Прежде, чем выйти на страницу - пользователь вводит логин и пароль. И только после авторизации попадает в Интернет (авторизация, разумеется, только при первом запросе). То есть - авторизация происходит средствами SQUID. А учет трафика squid - cредствами sarg. Вот где-то так.
Подумалось - никто ведь Вам не запрещает иметь прокси на ЛОКАЛЬНОМ (относительно сеанса пользователя) сервере. Привязать логины/пароли сквида к системным, думаю, вполне возможно. Сам, правда, с подобным не заморачивался, необходимости не было.
Привязать логины/пароли сквида к системным, думаю, вполне
> возможноИменно это меня интересует в большей степени.
VNC ваще корявый протокол, на фулскрине 2-3 мегабита, больше не потянет.
При 4-5 юзерах, работа ваще не возможна.
> VNC ваще корявый протокол, на фулскрине 3-4 fps, больше не потянет.
> А при 4-5 юзерах, работа ваще не возможна.Сделал вместо VNC xrdp+x11rdp, потестил на пяти подключения к виртуальной машине - вроде все ок. Осталось только логирование прикрутить
> Возникло предложение организовать сервер с какой-нибудь убунтой, поднять там иксы,
> насоздавать на нем учетных записей для первой категории лиц, и дать им
> доступ через VNC к раб-столу сервера, а сервер выпустить в инет.Это ещё фигня, мы для каждого юзера отдельную виртуалку клонировали и там он пускался!
Авторизация была по смарт-карте, на спец.-терминале. При вынимании карты, всё уничтожалось.Можно на обычном компе, пускать как VNC-клиента с авторизацией в БД. Вместо карты - пароль.
В каждой виртуалке висел демон, который общался с модулем ядра. Можно логировать каждый syscall.
Не выходя из дома смотреть, чё там сейчас юзерь делает, на какой порносайт дрочит...
> Это ещё фигня, мы для каждого юзера отдельную виртуалку клонировалиНыне модно гордиться тупостью. Тебе павлин - реально есть чем по-гордиться.
>> Это ещё фигня, мы для каждого юзера отдельную виртуалку клонировали
> Ныне модно гордиться тупостью. Тебе павлин - реально есть чем по-гордиться.После таких коментов совершенно не хочется объяснять требования
и причины создания каждой сессии в виртуалке.Напишу просто - ты раз в 100 более тупее, чем думаешь обо мне. :D
> В кратце обрисую задачу.
> ... никакого доступа в интернет по режимным соображениям им не разрешено.Тут слово "режимным" - так для красного словца?
Или мы в реале наблюдаем идиота с азартом зарабатывающего срок?PS: Как только дашь любой доступ юзеру к юниксу подключенному в интернет ... натянут твой режим - ПО САМЫЕ ГЛАНДЫ НАТЯНУТ.
Dante\StyxProxy\100500 других, да хоть даже connect.c с сайта одного широко известного в узких кругах японца :)
Ну а какого хрена ты хотел боец? 40 лет лучшие хакеры делали в нём сеть - а ты типо всё перекроешь. VNC-ёй - ага. Сухари суши да беломором запасайся.
>> В кратце обрисую задачу.
>> ... никакого доступа в интернет по режимным соображениям им не разрешено.
> Тут слово "режимным" - так для красного словца?
> Или мы в реале наблюдаем идиота с азартом зарабатывающего срок?Внутренний по предприятию режим, а не тот за который мальчики и девочки в форме нагибают.
>> В кратце обрисую задачу.
> PS: Как только дашь любой доступ юзеру к юниксу подключенному в интернет
> ... натянут твой режим - ПО САМЫЕ ГЛАНДЫ НАТЯНУТ.Пускай натягивают. Один хрен ничего кроме хттп им не разрешено, даже с этого удаленного сервера (и то, проксированного, а не напрямую порт 80). Над любителями поднимать туннели и подключаться к проксям угорали неоднократно уже.