Как вы ведете учет прав доступа на файловые ресурсы?

Question

[whatisit1]

Есть зоопарк файловых серверов и куча папок. Доступы даются по заявкам. Процесс этот почти не автоматизирован и особенно доставляет отсутствие возможности восстановить права как должны быть если кто-то накосячил т.к. отдельно это не учитывается. Сделали - забыли. Ищу способ организовать порядок, автоматизировать с возможностью масштабирования и упрощения процесса предоставления и учета доступа к общим папкам.

Как у вас организован файловый сервер и как вы ведете учет прав доступа на файловые ресурсы ?

Answer 1

[rPman]

Организация начинается там где организуете работу с людьми.

Т.е. вот к вам пришел человек с просьбой - эта заявка не должна быть устной, должна быть записана в машиночитаемом формате с возможностью сделать выборку по ним. Указывайте в заявке максимально информации - кто когда зачем...

Введите четкие правила по выбору имени шары, места размещения и т.п. Чтобы можно было опять таки автоматически делать выборки и сравнения (поиск ресурсов и действий с ними вне учета).

Немного с боку
- не выдавайте доступ 'всем', все ресурсы должны быть адресными, только не люди - а группы, управление должно быть на уровне групп (так как люди постоянно то уходят то приходят то болячка... этим так же необходимо управлять).
- постарайтесь не выдавать ресурсы 'на всегда', у всего должен быть срок, пусть ваша система дает вам об этом напоминание и даже автоматически отбирает доступ и даже удаляет (отправляет в архив) соответствующую шару.

Comments

[Дмитрий Шумов]

По последнему пункту, учьтите, что временное членство в группах начинаеться с уровня AD 2016. Если у вас уровень ниже - смысла нет.

[rPman]

Дмитрий Шумов, я специально не акцентировал внимание на реализации, все можно запилить на базе даже workgroup и небольших скриптах.

Само собой готовая ERP даже на базе того же AD удобнее но оно стоит денег, иногда не оправданных.

Answer 2

[Роман Молчанов]

"учет прав доступа" и "автоматизировать ... и упрощения процесса предоставления" это несколько разные вещи.
Если прям зоопарк (разные файлохранилища, смесь доменных и недоменных учёток и т.д.), то начать было бы неплохо хотя бы с учёта: Таблица
строки - наименование категории сотрудников (департамент, должность или ФИО, если права назначаются индивидуально);
столбцы - название папки/каталога/ресурса;
на пересечениях, соответственно, отметка об уровне доступа;

Скорее всего, у каждого каталога есть владелец (ответственный за информацию), который определяет кому предоставить доступ и какого уровня. Некоторыми инструментами можно предоставить возможность владельцу вносить информацию в соответствующий столбец для своего каталога.

Answer 3

[Дмитрий Шицков]

Организовывал так - active directory(отлично заменяется той же samba4) + samba шары = доступы на основе групп ad

Comments

[whatisit1]

А сбор логов, учет доступов к папкам, согласование доступа ?

[Дмитрий Шицков]

whatisit1, логи ровать доступ можно через audit. Собирать логи можно куда угодно - ELK, Graylog, как пример.
Учет - зачем дополнительный? Вся информация о доступах в ad.
Согласование доступов - это уже организационные вопрос. Без участия человека здесь не обойтись.

[whatisit1]

Дмитрий Шицков, вот организация и интересует. это полутехническое решение - чтобы предложить, нужно самому определиться как должно быть. Например если будет некий список ресурсов и матрица доступа - как поддерживать в актуальном состоянии? Не руками же записывать. Или было бы круто пойти от обратного - вести список и постоянно мониторить соответствие матрицы доступа и фактически настроенных прав, чтобы знать что порядок и где доступ дан не верно - здесь есть возможность автоматизировать назначение прав.

[Дмитрий Шицков]

whatisit1, разработка полностью собственной продуманной и безопасной системы, я думаю, слишком затратно.
Я бы использовал puppet, ansible и т.п. для установки и поддержания актуальных прав доступа у пользователей и шар. Далее дело фантазии как удобнее хранить и управлять этими списками - просто в файле, в БД, написать простую морду к БД или интегрирвоать с текущей системой заявок.