База учета доступа к ресурсам?

Question

[Ingtar]

Добрый день, уважаемые хабровчане!

Ситуация: разростающаяся фирма и большое кол-во ресурсов, куда человеку предоставляется доступ по мере его работы.

Уследить за учетками пользователя становится очень сложно.

Существует ли некая софтина, которая может выполнять следующие функции:

1) ведение базы данных пользователей вида ФИО, логин, доступ к 1,2,3,4,5 ресурсу.

2) Возможность отписывать где-либо руководителю с просьбой открыть пользователю доступ туда или сюда.

3) сохранение соотвественно этой истории запросов.

4) желательна хоть какая-то процедура авторизации для записи (было бы совсем хорошо — интеграция с АД)


На ум пока приходит SharePoint или просто файлик-табличка с данными.

Существует ли что-либо еще?


Возможность развернуть систему как на Windows, так и на Linux

Comments

[subvillion]

2) Возможность отписывать где-либо руководителю с просьбой открыть пользователю доступ туда или сюда.

Автоматически при запросе запрещенного ресурса?

[Ingtar]

Руководитель заходит, отписывается «Прошу предоставить доступ Иванову к данному проекту». Мы добавляем доступ.

Answer 1

[amarox]

Я думаю лучше всего заказать разработку небольшой софтины для данной задачи.

Comments

[Ingtar]

Я думал, вдруг уже «все украдено до нас». и где-то кто-то уже сделал что-то похожее.

Answer 2

[subvillion]

А чем ISA + любая тикет система не подходят?

Comments

[Ingtar]

Тикет система есть, хотелось бы большей наглядности и простоты. Будем использовать ее, конечно, но вдруг есть что-то специальное?..

Answer 3

[Николай Турнавиотов]

Если интеграция с AD есть, то логичнее организовать доступ на уровне групп.
Элементарным скриптом на повершелле можно сделать вывод ресурсов, которые пользователю даны

Comments

[Ingtar]

Имелись в виду не сетевые ресурсы, как диски или базы.
А например доступ к внутреннему сайту, vpn, ssh или бухгалтерскому серверу.

[Николай Турнавиотов]

ssh, rdp, samba, многие почтовые сервера, asterisk (SIP). squid proxy (скорость канала, доступ к группам сайтов) — интегрируется с AD, та же wiki, bitrix — тоже. Доступ к бухгалтерскому серверу — 1c + AD — влёт. vpn тоже интегрируется.
авторизация в mysql/postrgre, apache тоже прикручивается.
Разве что какие-то старые разработки или БД в dbf формате, да, доступ на уровне FS и тот можно ограничить.

Один скрипт на пару строк с параметром «имя пользователя» получает полный список доступа.

[Николай Турнавиотов]

При правильной настройке системы такой доступ вообще может даваться автоматически по подтверждению тикета ответственным за доступ лицом, вообще без телодвижений.
Не считая того, что почта/учётка в AD может заводиться автоматом при принятии пользователя на работу и заведении сотрудника в 1C (с заполнением полей типа отдела/города/подразделения).

Answer 4

[Илья Мальцев]

Год назад возникла схожая проблема, пришлось написать mini-IDM самому, взяв за основу Redmine.
Lite-версию плагина выложил на github:
https://github.com/iymaltsev/access_tickets
В перспективе планирую добавить возможность предоставления доступа пользователям по завершении согласования задач через ansible/bash или LDAP