Comments 23
Не понял что за такие сложности.
Нам нужен "тонкий" образ (зачем два то?) который грузится по PXE и запускающий клиента RDP.
RemoteAPP для 1С
Всё
Закрытая система, то есть на Постах, на которых развёрнута эта ОС сами в себе, ssh и остальные доступы к ним закрыты, ни puppet, ни любой оркестратор попасть в них не смогут
Два, потому что для Legacy и UEFI, чтобы вне зависимости от конфигурации компьютера можно было развернуть из образа ОС и сразу работать
Ну и отказоустойчивость, если PXE не доступен или медленная сеть, то может сильно сказаться на скорости запуска Поста
Настройте как надо загружаемый образ, он один на всех.
Грузится не ОС, а TFTP. Настройки Legacy или UEFI это DHCP, который передает загрузку нужному файлу на TFTP
А если.... тут можно до бесконечности, флэшка вот точно менее надежна.
TFTP медленный протокол, к тому же, подобное решение вызвано требованием руководства айти отдела к исполнению, нежели личное желание
а ipxe у нас уже развёрнут и с него же акронисом разворачиваются образы, о нём статья будет сильно длиннее и объёмнее, но чуть позже
У вас образ копейки весит, справится TFTP.
Это руководство придумало что надо запускать не через remoteapp, а попадать на рабочий стол и там чего-то колхозить?
Акронис? Чем clonezzila не устраивает? У ней разве что на сильно меньший диск не развернуть образ
Получается логин пароль просто зашит в открытом виде в штрихкоде?
Верно, как и имя сервера и логин
ИМХО стоило бы их как то пошифровать хотя бы общим ключем и расшифровывать на самом посте, защита наивная, но хоть в открытом виде не будут храниться. Вариант чуть более надежный - зашить туда какой нить guid уникальный для каждого пользователя, а креды хранить на отдельном сервере, выдавать только по пин коду(короткий цифры 4), но с обязательным локом по количеству неправильно введенных.
Идея хорошая и думали об этом, но пришли к выводу, что если злоумышленник уже внутри завода и имеет прямой контакт к этикетке с паролем, то ему он уже явно не нужен, чтобы нанести вред компании
К тому же, посты подключаются к серверу без доступа к интернету и который в будущем будет находиться в отдельном VLANе, благодаря чему утечка пароля поста не принесёт ничего
Зачем 2 системы? Поставь 2 загрузчика. Система одна - поддержка проще, места меньше занимает, заливка быстрее. Это не сложно.
Поставить себя какой-нибудь проксмокс, если надо потрогать, как система выглядит с двумя загрузчиками.
А чем не подошел https://thinstation.org ?
Образ со старым ядром влезает в 30МБ. Загружается по tftp или http. У многих современных маршрутизаторов для него хватит места.
У меня лет 15 так Intel Core 2 Duo соединяются с Windows Terminal Server.
Настраивал, даже работало. Отказались как раз из-за единой точки отказа, если сервер распространяющий тинстейшн не доступен или вышел из строя - простаивает всё производство, а так вышел 1 пост - заменил или переустановил на новый, за пол года сбоев не наблюдается
Это плохо, потому-что если надо что-то изменить (пароль рута к примеру), то вы меняете не один образ, а к каждому посту на поклон. Плюс безопасность, за каждым надо следить и убирать возможности доступа.
Почти тонкий клиент на базе Linux с авторизацией через штрихкод и автоматическим запуском 1С в RDP сессии Windows