новости
статьи
.hardware

интеграция в корпоративную сеть и обеспечение безопасности мобильных терминалов

В этой статье рассмотрено применение терминалов на базе ноутбуков для повышения мобильности и безопасности пользователей. Использованы LDAP для хранения пользовательских аккаунтов, libpam-ldap, libnss-ldap для авторизации, NFS для хранения домашних каталогов пользователей и openvpn для создания шифрованного туннеля при работе пользователя вне сети. FAI обеспечивает идентичную установку ПО на пользовательские ноутбуки. В связи с использованием в компании только ноутбуков возникла острая необходимость создания системы, обеспечивающей как прозрачною работу локальных пользователей, так и возможность их подключения из дома или из Интернет-кафе. При этом одной из основных задач стало значительное увеличение безопасности системы, так как риск кражи/потери при использовании ноутбука многократно выше по сравнению со стационарным компьютером. Вторым решающим фактором, повлиявшим на выбор данной схемы работы, является быстрый рост компании, что обусловило требования масштабируемости на большое количество пользователей без внесения кардинальных изменений в структуру системы. Также необходимо было снизить затраты на обслуживание системы, свести к минимуму время простоя в работе пользователей при выходе из строя компьютера и обеспечить надежность хранения информации.



Рис. 1. Схема подключения пользователей.

Плюсы данного подхода:

- позволяет работать за любым компьютером;

- обеспечивает надежность хранения информации пользователя;

- обеспечивает защиту пользовательских данных;

- минимальные затраты на поддержку большого количества пользователей.

Минус только один: невозможно работать без подключения к Интернет.

Информация по аккаунтам пользователей храниться на сервере LDAP (openldap). Для использования их в качестве системных аккаунтов задействованы библиотеки libnss-ldap и libpam-ldap, которые обеспечивают интерфейс между базами данных LDAP, pam и nss. Репликация БД с другими серверами openldap позволят создать отказоустойчивую систему, которая может использоваться при большом количестве пользователей. Для кэширования запросов к серверу LDAP используется nscd. NFS-сервер используется для хранения пользовательских данных, что дает возможность пользователям работать за любым компьютером. Openvpn позволяет пользователям работать где угодно, не возникает никаких проблем с работой через NAT или внешний файрвол. Также стоит отметить возможность автоматической настройки роутинга при подключении клиента к openvpn-серверу - для увеличения безопасности весь трафик проходит только через openvpn-сервер.

Инициализация пользовательской системы включает следующие этапы:

1. При включении ноутбука запускается openvpn-клиент, который создает шифрованный туннель к серверу.

2. NSS обращается к серверу LDAP и получает список пользователей к моменту старта *dm.

3. Пользователь вводит логин/пароль, и происходит монтирование домашнего каталога пользователя по NFS.

4. Система готова к работе.

Разработанная схема имеет следующие преимущества:

1. Используется набор стандартных сервисов, благодаря чему для реализации годится любая *NIX-система.

2. Пользователи могут работать где угодно, а не только в офисе. Местонахождение пользователя не имеет значения.

3. Использование одной базы пользователей для различных сервисов (imap, smtp, samba, ftp и т.д.).

4. Минимальное время на разворачивание всей системы.

5. Централизованное резервное копирование информации всех пользователей.

6. Удачное совмещение отработанных технологий VPN-соединения и "толстых" клиентов.



Александр Сергеев, Playfon Sweden AB, alex.sergeyev@playfon.se
обсудить статью
© сетевые решения
.
.