Интеграция в корпоративную сеть и обеспечение безопасности мобильных терминалов

Сергеев А.С. – Стокгольм, Швеция, Playfon Sweden AB – alex.sergeyev@playfon.se

LVEE 2006

Использование терминалов на базе ноутбуков для повышения мобильности и безопасности пользователей. Используется LDAP для хранения пользовательских аккаунтов, libpam-ldap, libnss-ldap для авторизации. NFS для хранения домашних каталогов пользователей, и openvpn для создание шифрованного туннеля при работе пользователя вне сети. FAI обеспечивает идентичную установку ПО на пользовательские ноутбуки.

В связи с использованием в компании только ноутбуков возникла острая необходимость создания системы, обеспечивающей как прозрачною работу локальных пользователей, так и возможность их подключения из дома/интернет кафе. При этом одной из основных задач стало значительное увеличение безопасности системы, так как риск кражи/потери при использовании ноутбука многократно выше по сравнению со стационарным компьютером. Вторым решающим фактором, повлиявшим на выбор данной схемы работы, является быстрый рост компании, что обусловило требования маштабируемости данного решения на большое количество пользователей без внесения кардинальных изменений в структуру системы. Также необходимо было снизить затраты на обслуживание системы, свести к миниуму время простоя в работе пользователей при выходе из строя компьютера и обеспечить надежность хранения информации.

Рис. 1. Схема подключения пользователей

Плюсы и минусы данного подхода.
– Не позволяет работать без подключения к интернету.
+ Позволяет работать за любым компьютером.
+ Надежность хранения информации пользователя.
+ Защита пользовательских данных.
+ Минимальные затраты на поддержку большого количества пользователей.

Информация по аккаунтам пользователей храниться на сервере LDAP. Для использования их в качестве системных аккаунтов используются библиотеки libnss-ldap и libpam-ldap, которые создают интерфейс между базами данных LDAP, pam и nss. Репликация БД с другими серверами openldap позволят создать отказоустойчивую систему, которая может использоваться при большом количестве пользователей. Для кэширования запросов к серверу LDAP используется nscd. NFS сервер используется для хранения пользовательских данных, что и позволяет пользователям использовать любой компьютер для работы. Openvpn позволяет пользователям работать где угодно, не возникает никаких проблем с работой через NAT или внешний файрвол. Также стоит отметить возможность автоматической настройки роутинга при подключении клиента к openvpn-серверу – для увеличения безопасности весь трафик проходит только через openvpn-сервер.

cтарт пользовательской системы
1)При старте ноутбука запускается openvpn клиент, который создает шифрованный туннель к серверу.
2)NSS обращается к серверу LDAP и получает список пользователей к моменту старта *dm.
3)Пользователь вводит логин/пароль, и происходит монтирование домашнего каталога пользователя по NFS.
4)Система готова к работе.

преимущества данной реализации
1)Используется набор стандартных сервисов, можно использовать любою *NIX систему для реализации.
2)Пользователи могут работать где угодно, а не только в офисе. Местонахождение пользователя не имеет значения.
3)Использование одной базы пользователей для различных сервисов. (imap, smtp, samba, ftp и т.д.)
4)Минимальное время на разворачивание всей системы.
5)Централизованное резервное копирование информации всех пользователей.
6)Удачное совмещение отработанных технологий vpn-соединения и “толстых клиентов”.