Работа и администрирование сетевых учетных записей

[ogankvik]

Здравствуйте. Поправьте если создал тему не в том разделе.

В рамках выполнения приказа по безопасности, придется на всех ПК с Linux Mint создавать учетки для каждого пользователя (раньше все работали под одной). Компов много, люди меняют место работы (в пределах общей сети). Появилась идея. А можно ли сделать так, чтобы все учетки с данными пользователей и паролями хранились на каком-то сервере, а пользователь садясь за комп, за которым ранее не работал, вводил в окне входа свой логин и пароль и его учетка загружалась с сервера и он мог работать?
Важно! Хочется чтобы содержимое учетной записи загружалось на компьютер где они сели работать, а не как на винде, где можно поднять терминальный сервер и работать в терминальной сессии, это крайний способ.

[symon2014]

Судя по теме , лень родилась раньше сисадмина. А почему не создавать пользователей просто на компе с минтом ? Или их десятки и сотни у одного компа ?

[ogankvik]

Врачи работают в разных местах города в пределах одной организации. Например, сегодня принимают детей в одном микрорайоне, а завтра в другом. Все комы (не без вашей помощи) на минте и находятся в одной сети. Текучка кадров и частое перемещение кабинета нивилирует возможность лично подойти к кому и переделать учетную запись. Нужно централизованное решение.

[symon2014]

Нужно централизованное решение.

Если они в одной сети , видимо к ним можно подключиться удалённо. И делай с ним что хош)

[slant]

ogankvik,
Это возможно. Но в качестве сервера вам нужна либо AD от MS, либо ее самосборный аналог на LDAP, Kerberos и SAMBA. И курить много мануалов.
Клиента для AD когда-то делал лично из 17-го минта, все работало, настройка не так чтобы совсем уж сложно, но сложнее чем пяток команд ввести. Сервер на LDAP не делал, там AD уже был.
Вообще, решение в виде готового сервера требующего минимальной донастройки, сейчас, скорее всего, можно найти в виде образа виртуалки, или контейнер под docker. Но посоветовать точно готовый вариант я сейчас не смогу - давно не было надобности копать в эту сторону.
Минт в винде клиента, скорее всего, придется один раз хорошо настроить, а потом раскатывать из образа, т.к. штатных средств сопряжения с AD у него нету.

Судя по теме , лень родилась раньше сисадмина.

Значит сисадмин хороший. Это плохой будет бегать и подпирать костылями. Хороший - один раз заморочится и по уму сделает.

[madesta]

... все учетки с данными пользователей и паролями...
... содержимое учетной записи загружалось на компьютер ...

Про пароли понятно. Как указывал Slant, можно сделать. Но вот с данными пользователя... Что будут в себя включать данные пользователя? Если прикинуть ~/.config, ~/.cache, ~/.local/share для каждого пользователя. то можно попробовать вообразить как вслед за броуновским движением пользователей начинается перемещение с сервера на компьютер и обратно с компьютера на сервер массивов данных, которые будут в состоянии на некоторое время положить всю ЛВС. А если ещё пользователь затребует, чтобы на новом рабочем месте месте появился привычный ему набор папок, начиная с "Документы" и заканчивая "Служебная переписка за 3 года" ... Попробуйте представить себе ответ начальства, когда вы заявите, что вам необходим высокопроизводительный сервер с бешеными объёмами дисковых накопителей (что будет стоит приличные деньги). И не дай бог, чтобы на этих накопителях произошёл какой-либо сбой файловой системы. Следовательно, нужны ещё и мощности по бэкапу. Терзают меня смутные подозрения, что озвучившему данные потребности администратору предложат, мягко выражаясь, пройти прогуляться на природу бабочек половить...
Дополнение под спойлером:

Чей приказ: внутренний или спущенный сверху? Бывает, что приказы по безопасности в конкретных условиях являются совершенно невыполнимыми. Тогда нужно "бодаться" служебными или докладными записками с грамотно оформленными обоснованиями технической невозможности выполнить требования приказа имеющимися аппаратными и программными средствами. Пусть "головастые" безопасники выбивают из начальства средства на закупку технических, программных или аппаратно-программных комплексов для решения таких задач. Приказы "наляпать" легко, особенно когда будешь только контролировать, а не персонально заниматься их "воплощением в металле".

[ogankvik]

Дополнение под спойлером:

Чей приказ: внутренний или спущенный сверху? Бывает, что приказы по безопасности в конкретных условиях являются совершенно невыполнимыми. Тогда нужно "бодаться" служебными или докладными записками с грамотно оформленными обоснованиями технической невозможности выполнить требования приказа имеющимися аппаратными и программными средствами. Пусть "головастые" безопасники выбивают из начальства средства на закупку технических, программных или аппаратно-программных комплексов для решения таких задач. Приказы "наляпать" легко, особенно когда будешь только контролировать, а не персонально заниматься их "воплощением в металле".

Приказ этот https://fstec.ru/dokumenty/vse-dokument ... 17-g-n-239 . Раньше он был не нужен, а сейчас за больницы и оборонку взялись :(

Спасибо большое за советы, изучаю и думаю как применить. Если не разберусь или будет работать не так как хочется - то просто на каждом компе вручную создам учетки удаленно, как и сказал symon2014. Интересен был ваш опыт, если что-то с подобной задачей сталкивался.

[madesta]

Раньше он был не нужен, а сейчас за больницы и оборонку взялись

Ну, батенька, остается только посочувствовать. Но я бы посмотрел на это не в пределах каких-либо узких рамок вопроса об учётках, а в разрезе всего приказа. Обратите внимание на ст. 22 и 29. Как мне видится, ваш объект должен ещё использовать не абы какое ПО, какое захочется, а то, которое подтверждено сертификатами ФСТЭК и перечислено в каких-либо государственных реестрах ПО. Если вы чего-то не понимаете или сомневаетесь, то обращайтесь за консультацией к своему надзорному органу, чтобы не оказалось, что за какое-либо невыполнение чего-то отвечать будете именно вы персонально. За нарушение можно схлопотать в широких пределах: от волчьего билета до того, от чего не зарекаются. Вопросик-то весьма и весьма серьёзный. Не зацикливайтесь в узких рамках, всегда помните о том, что может прилететь и в этом случае у вас должна быть железобетонная защита в виде официальных бумаг, подтверждающих как вы "рубились" за выполнение организационно-распорядительных документов и что виновны не вы, а те вышестоящие товарищи, которые вас не обеспечили нужными возможностями.
У меня когда-то был опыт, когда выполнить некоторые положения приказа буквально было невозможно ни по техническим средствам, ни по "человеческим затратам часов". Пришлось много ездить в надзорный орган и проводить большое количество консультаций и переговоров. Но в результате был рождён, как полагается оформлен и письменно согласован с надзорным органом официальный документ, определяющий особенности функционирования конкретной ЛВС, порядок обеспечения в ней безопасности информации и аудита доступа к информационным массивам. Но это в своей подавляющей части была бумажная работа, нежели деятельность системного администратора.

[slant]

Но вот с данными пользователя... Что будут в себя включать данные пользователя? Если прикинуть ~/.config, ~/.cache, ~/.local/share для каждого пользователя. то можно попробовать вообразить как вслед за броуновским движением пользователей начинается перемещение с сервера на компьютер и обратно с компьютера на сервер массивов данных, которые будут в состоянии на некоторое время положить всю ЛВС.

Для таких случаев и придумали NFS.

[ogankvik]

Ну, батенька, остается только посочувствовать.

Вы специалист по КИИ и занимали/занимаете должность специалиста по компьютерной безопасности?

Для таких случаев и придумали NFS.

Спасибо, смотрю что это!

[slant]

Спасибо, смотрю что это!

Основной принцип для подобной ситуации - просто монтируется весь хомяк пользователя по сети, с сервера. Какой хомяк монтировать - хранится в AD/LDAP вместе с другими данными учетки пользователя. Соответственно, процесс выполняется в момент авторизации оного.

[madesta]

Вы специалист по КИИ и занимали/занимаете должность специалиста по компьютерной безопасности?

Нет, всё это было в прошлом лет 10-15 назад. Такой выделенной должности в моей "шарашке" не было и за косяки в вопросах безопасности отвечал админ сети. За прошедшее время могло очень многое поменяться. Озвучено просто как свои мысли по этому поводу, никоим образом не претендующие на единственно правильную точку зрения.
Про NFS, как говорит Slant, не подумал, так как не было опыта в таком вопросе по причине тяжёлого наследия Windows и опыта построения только многоуровневой Windows DFS в рамках AD. Да и Linux тогда только только набирал силу. Но идея достойная пристального внимания.

[Dja]

а не как на винде

Ну в винде как раз есть описанное вами. И называется "Перемещаемый профиль".

А почему не создавать пользователей просто на компе с минтом ?

Будут пустые профиля.

[ogankvik]

Будут пустые профиля.

да! И настроить их - слишком ёмкая задача. Там же не только ярлыки или пользовательские файлы, там ещё куча настроек, скриптов и т.д.