возможно поможет вариант с группой, способ изложен тут 4admin.info/shadow-mode, я даже назвал бы это «правильным способом», единственное что, если логин пользователя u745, и это какой-то начальник (а таких людей надо узнавать), то как минимум PS в помощь для красивых решений
дело в руках, согласен, если у меня десяток линуксовых серверов, с разными дистрибутивами, то как раз, разбавить их FreeBSD это та самая изюминка, после которой меняется мировоззрение.
К примеру: как бороться со списыванием на коллоквиумах у студентов:)? Да, реально знаю случаи, когда ставили самодельные глушилки.
Мы отвечаем только за свой фронт работ, на остальное — подписываются бумаги в кадрах :) и относится к информационной безопасности и ответственным за это человеком, могу только рассказать про общее негодование части коллектива, когда в некоторых случаях, включают спецсредства, как результат перестают работать беспроводные клавиатуры, wifi и т.п. но повторюсь, конкретно эти мероприятия вне нашего влияния — каждый занимается своей работой.
Отдельный туннель для себя можно сделать, я дополнительно игрался с конкретным IP в цепочке но прямо сейчас сказать не могу, у нас этот канал для всех, а «не все» пользуются альтернативным :)
приготовление прокси требует дополнительных затрат по памяти и быстродействию того же железа и дисков, не скрою возможно я «не умею их правильно готовить», но тонкие настройки ACL нас пока не интересуют, подмена сертификата тоже, согласен что в нашем варианте просто топорная работа.
Кстати у «Медка» другой прикол, в серверной версии для получения почты нужен файл подписи или как уже по новым правилам токен (25 уе + услуги за 1го пользователя), как мы понимаем может спасти только слаженная работа в коллективе :). Каждый зарабатывает как может…
Все эти приколы с подписями на токенах изначально подразумевают использование в небольших учреждениях. Конкретно в нашем случае: проблема в масштабах предприятия: отчеты по бух деятельности пишет один отдел, по кадровой другой, по вопросам министерской отчетности третий. Я вижу модель такой: должен быть один носитель ключей (главный ответственный человек с юр. доверенностью от руководителя и главбуха), к которому будет стоять очередь ответственных руководителей из каждого отдела, а иначе им придется стоять уже по 2 очереди или даже 3, на токенах записаны подписи руководителя, главбуха и печать. Лично мне кажется что кризис «недоразумений» продлится еще лет 5… пока «там» научатся перераспределять и делегировать права и законодательно разрешат эти накладки, но есть и НО — в любом случае за отчетность перед фискальными службами и т.п. отвечают руководители. То что у нас ЭТО заработало (откровенно говоря это эксперимент, Мы попробовали) это не совсем правильно, а вот мой пример насчет банка — это недочет конкретного банка (у мня просто был невостребованный пользователем токен) состоит в том что токен работает как флешка, а доступ к подписи осуществлен только через ПИН. Как показывает опыт: у банков итак полно проблем со считыванием токена через разные браузеры своими java модулями, если еще учесть что майкрософт и Oracle Java умудряются мудрить с поддержкой браузерами разных типов хешей (с одним из банков актуальная версия W8+java не хочет взаимодействовать с токеном, хотя с другими версиями ОС проблем нет). А вот в программе отчетности МЕДОК (которая прославилась благодаря вирусу «Петя») эта дыра уже вырезана, НО например, программа VirtualHere пробрасывает уже оба устройства токена, однако она платная, кроме того в VirtualHere есть командная строка, и мою поделку вполне переписать под работу с ней, просто поменяется содержимое bat файлов.
пин требует у локального пользователя, узнает и его даже можно менять по сети. Утилита для токена (банковская) с измененными заголовками (дабы не светить производителя токенов) есть в видео ролике. Дополнительную секюрность по IP или МАК адресу никто не отменял, хотя и не панацея.
Мы отвечаем только за свой фронт работ, на остальное — подписываются бумаги в кадрах :) и относится к информационной безопасности и ответственным за это человеком, могу только рассказать про общее негодование части коллектива, когда в некоторых случаях, включают спецсредства, как результат перестают работать беспроводные клавиатуры, wifi и т.п. но повторюсь, конкретно эти мероприятия вне нашего влияния — каждый занимается своей работой.