PGP Disk – удалённое подключение, работа в терминалах
Уважаемый All!
Есть следующая задача. На сервере (Win2003+PGP 8.0.3) требуется хранить SQL-базу на шифрованном диске. Всё просто и красиво, но есть одна сложность – на той фирме нет админа, который мог бы заниматься подключением этого диска. Давать нескольким (на случай если кого нет на месте) юзверям пароли, чтобы они ходили на консоль и каждый раз подключали диск – как-то не очень хотелось бы, сами понимаете.
Отсюда просматривается интересное решение – опубликовать PGP-диск как терминальное приложение с командной строкой вида "C:\Program Files\PGP Corporation\PGP for Windows 2003\pgpdisk.exe" PGPdisk.pgd; пусть они его пускают и маунтят диск не вставая со своих рабочих мест. Нефиг им на сервере делать.
На практике обнаружились следующие проблемы:
1. Без админовских прав юзверь вообще не может маунтить диски.
2. Если сначала зайти терминальным клиентом, а потом подключить диск, то всё прокатывает; если же сразу забить в ярлык клиента требуемую командную строку (или опубликовать то же через Citrix), то при старте получаем сообщение "Чтобы работать с ПГП-диском, вам нужно сделать логофф, а потом логон". Причём после нажатия ОК сессия повисает в состоянии Active, и и приходится делать ей логофф вручную.
Исследования показали, что мессага эта происходит оттого, что не стартанул PGPTray. Пробовал пускать PGPTray в батнике – не помогает, ему самому Explorer нужен для жизни; а ежели перед ним в батнике пускать ещё и Эксплорер, тогда юзверь вообще десктоп имеет полный на сервере и нет никакого смысла всё это городить.
3. Ладно, заходим терминалом, потом вручную маунтим диск. Буквой он маппиться не хочет опять-таки по причине терминальной сессии; маунтим как каталог, вроде наконец-то заработало, хотя уже некрасиво, но хоть ногами ходить на сервер не надо. И что? Делаем логофф, и диск естественно отваливается.
Есть ли какое-нибудь нормальное решение, может на базе другого софта? BestCrypt и другие пока не пробовал, как-то к PGP уже давно привык; может, они это могут? Суть в том, что подключение диска должно выполняться удалённо, то ли через терминалы, то ли утилем каким из комплекта. У PGP, как я понял, такой возможности нету...
комментариев: 4 документов: 1 редакций: 0
комментариев: 11558 документов: 1036 редакций: 4118
Удалённым подключением Lahesis более предметно занимался. В этой ветке форума есть его топик относительно сего вопроса, советую заглянуть туда. А для более детального разбора — обратиться к нему напрямую (в идеале, конечно, лучше бы он здесь отметился).
комментариев: 4 документов: 1 редакций: 0
??? А можно ткнуть пальцем? Поднял все его сообщения, но ничего похожего не нашёл. По-моему, речь там шла скорее об расшаренном по сети контейнере, который могут подключать себе все желающие – в этой схеме нет ничего необычного, это даже в мануале на ПГП я где-то видел.
комментариев: 38 документов: 5 редакций: 0
Что вообще нет, или бывает, что временно нет? А кто тогда пароли долбить должен? А отключать кто будет если что? Диск-то для совместного доступа или персональный для каждого пользователя?
В конце концов можно установить удаленное управление рабочим столом и клацать мышом как на своей машине. Короче ничего не понял :( .
комментариев: 4 документов: 1 редакций: 0
Вообще нет.
Юзверь, который на работу раньше пришёл.
Да хотя бы кто первый до рубильника добежит.
Нет!!! Он вообще не для доступа, он на сервере, и на нём лежит база MS SQL 2000 и может ещё кое-что. Юзвери напрямую вообще не могут на него писать, и нигде по сети диск этот не шарится.
Спасибо, а на фиг им доступ к рабочему столу на сервере?
Короче, я уже всё сделал и так. Но на BestCrypt 7.1+Citrix 1.0 FR3+W2K3. Увы, мой любимый PGP не смог...
Вкратце – схема такая: один из нескольких доверенных юзверей приходит на работу, запускает у себя ярлык "Подключить диск", у него вываливается приглашение с паролем (как раз это и есть BC, опубликованный как терминальное приложение). После ввода пароля на сервере (ещё раз повторяю, НА СЕРВЕРЕ, никаких шареных по сети дисков) подключается файл-контейнер, на котором лежит SQL-база, и довольный юзверь может начать работу со своим приложением, которое стоит на сервере и опубликовано опять-таки через Цитрикс.
Бэкапиться будет контейнер целиком, так что данные наружу не попадут никак. В случае маски-шоу достаточно дёрнуть за хвост 220 вольт, и диск естественно пропадает. А с учётом того, что скоро сервер переедет километров за 8 от офиса и сядет на выделенную линию, времени для этого будет более чем достаточно ;)))
Короче, кому надо – могу объяснить подробнее, пишите на мыло. А то уже оффтоп получился, форум-то про PGP :)))
комментариев: 11558 документов: 1036 редакций: 4118
Только вот вопрос по предложенной схеме. BestCrypt как терминальное приложение, контейнер на сервере... а пароль к нему по сети открытым текстом передается? Это есть очень нехорошо.
комментариев: 38 документов: 5 редакций: 0
комментариев: 4 документов: 1 редакций: 0
А-а-а, до меня только сейчас дошло, что мою тему переместили из "PGP Disk" в "Практические схемы" ;)))
А я всё жду, когда же Вы мне звезду навесите :)))
Во-первых, пока сеть локальная и на свичах, это не есть особая проблема.
Во-вторых, Citrix без каких-либо усилий держит 128 бит шифрования по RC5.
В-третьих, пошифровать трафик дополнительно тоже не есть проблема. Даже Винда кое-что умеет, не говоря уже об аппаратных средствах для выделенки. Так что предложенную схему можно развивать вглубь и вширь сколько угодно.
To Lahesis:
Ты на калькуляторе посчитал, да? Или ты вообще по жизни критик?
комментариев: 2 документов: 0 редакций: 0
:o
Такая же проблема!
Тоже самое хотел нагородить на серваке и тоже самое получилось!
Есть один чел. кому позволено mount, но ему не хочу давать админских прав, а приезжать и самому подключать........хммм.... :-/ :? Не пойдёт.
ДУмал, может есть места в реестре, на которые можно дать разрешения, но КАКИЕ? :?: Там их столько!
Может кто знает, решаема ли эта проблема таким вот образом????
Ошибаешься, для злоумышленника в этом сегменте сети это не проблема – ARP poison routing работает...