[Freeschool] School network

[Denis Kirienko]

Приветствую!

On Sun, 17 Nov 2002, Igor Grigoriev wrote:

> Вы там писали: "Криво, конечно, но время поджимало, пришлось
> сделать хоть как-то работающее решение. Будет время - попробую
> сделать по-нормальному." Вот я и интересовался, что Вы считаете
> нормальным решением.

Нормальное решение - это когда не нужно что-либо делать с рабочей станцией
для администрирования пользователей. На прошедшие выходные я предпринял у
себя дома еще один штурм LDAP, и на этот раз у меня получилось. В пятницу
буду переносить на LDAP всю авторизацию и это будет нормальным решением в
смысле данного выше определения.

> Хорошее - функционально не хуже имеющегося у нас нынче
> Windows-решения (подробности ниже) и лишенное указанных ниже
> недостатков. Стандартное - а) на основе стандартных (желательно,
> входящих в распространенные дистрибутивы) средств; б) достаточно
> широко применяемое в подобных ситуациях.

Дистрибутивы ALT вас устроят? Если нет - берите RedHat, Debian - вообще
любой универсальный дистрибутив. Широко применяемое в таких ситуациях,
насколько я понимаю, и есть NFS + авторизация на сервере.

> DK> Что подразумевается под "роумингом"?
> Роуминг - за какую бы из рабочих станций пользователь ни сел, он
> попадает в одну и ту же "рабочую среду". Т.е. во-первых, в среду

> Как ни странно, в Win95/98 такая возможность предусмотрена (с
> глюками, но терпимыми, у нас работает) и даже поддерживается
> samb'ой. Не сомневаюсь, что и с Linux это тоже можно сделать и,
> наверное, может получиться еще лучше. Но как? О проблемах (может,
> у кого-нибудь есть опыт их решения?) - ниже.

Да, конечно. Иначе овчинка не стоила бы выделки. Я не знаю, как это
делается на Windows и меня это волнует мало - на Linux я это сделал.

> МБитной - около 15 мин. Так что каждый, кто беспокоится о
> безопасности рабочей станции, может, прежде чем садиться за нее,
> получить ее в первозданном виде. Ну и ничего не мешает раз в день
> "восстанавливать" так все машины.

О вкусах не спорит. Но мне описанное решение не нравится.

> Теперь о том, как заменить эти винды на Linux. Как ни странно,
> возникает впечатление, что самое стандартное линуксовое решение -
> на основе NFS - в этих условиях оказывается хуже. Безопасность
> NFS, насколько я понимаю, ОПИРАЕТСЯ НА ДОВЕРИЕ root'ам
> КОМПЬЮТЕРОВ-КЛИЕНТОВ: став root'ом любой рабочей станции (для
> этого достаточно загрузиться с дискеты) я могу обратиться к
> серверу от имени любого пользователя.

Вы можете отключить в настройках NFS доступ к сетевым дискам для root'ов
рабочих станций. Насколько я помню, в дистрибутивах ALT это установлено по
умолчанию, так что проблемы это не составляет. Загрузка с дискеты и с
CD-ROM у меня отключена, на BIOS стоят пароли, BIOSы новые, насколько я
понимаю, стандартных черных входов в них нет. Если у вас на BIOS пароли не
ставятся - могу только посочувствовать...

> Возможно, эти рассуждения отдают некоторой паранойей. (Как,
> впрочем, почти любые обсуждения безопасности). Но IMHO лучше не
> допускать хотя бы более-менее очевидных дырок, чем потом
> подвергать детей наказаниям за разные подобные шалости. Ведь они

Я не вижу в нынешней конфигурации, которую я сделал, никаких очевидных
дырок. Вернее, главная "дырка", на мой взгляд - наличие Windows
одновременно с Linux на каждой рабочей станции...

                                 Денис