KBegemoT:
Wine "цепляет" сетевое подключение нативно. На его стороне настраивать не нужно ничего. Если вы хотите что бы ваше приложение подключалось на определённый адрес через vpn-туннель (в данном случае ovpn) - вам нужно соответствующим образом настроить маршрутизацию в используемой вами ОС (в данном случае Linux)
Иван Базайченко:
белого айпишника нет, поэтому гейт.
Сам вопрос не актуален, в общем то. Как я уже сказал - буду смотреть в сторону переезда на впс полностью. С линуксами попроще в этом плане. В виндах, как я всё больше убждаюсь на опыте, всё гвоздями прибиваетс к АД, и чем дальше - тем больше. Оно может и не плохо, но не всегда удобно.
Иван Базайченко: ещё мне подкинули идейку по использованию веб-клиента 1ски, тоже интересно и надо будет подумать на этот счёт, но о лицензионности, кхм, придётся забыть. лицензию на 1сный сервер никто отплачивать не будет конечно.
Но зато это работало бы очень быстро, и очень удобно...
Иван Базайченко: прошу прощения за очепятки, пишу быстро и с коцаной клавиатуры. Да и просто хочется отдохнуть после работы. Первый ответ писал в метро с телефона :)
Banzaii:
Так-с. Был посыл от начальства переместить 1ску из офиса на удалённый физический сервер в условно неведомых далях; сам сервер стоитза провайдерским натом, отсюда родился овпн-гейт на впске; физический сервер с 1с коннектитсяк впске, клиентытак же коннектятся к ней; овпн использует сертификаты, логин на сервер - обычный логин через рдп локального пользователя.
Ах да, все клиенты удалённые, бухгалтеры работают по домам.
В идеале хотелось бы иметь единую авторизацию с овпн и по рдп с использованием одного сертификата для каждого пользователя; при чём желательно на токене - не столько даже с целью секурности уже, а сколько с ццелью удобства для пользователя и для меня любимого. Сделать единую инсталяшку овпн со всеми прибамбасами, но что бы не пихать сертификат на все ноуты и прочее клиентов, а использовать токен. Кроме того избавится от лишнего ввода пароля на рдп для пользователя, т.к. по факту пользователь сейчас вводит ключ от хранилища сертификата для овпн, и собственно сам пароль для рдп.
В общем, всё это очень громоздко и не удобно; посему на данный момент я просто напросто хочу отказаться от физического сервера и перенести всё на впс. НО. 20 евро за винсервер на впс платить неохота, посему буду рассматривать вариант с убунтой.
Проблема в том, что надо так сделать сначала, а потом уже показать начальству. То есть все эксперименты за свой счёт.
P.S. хаспы давно уже не используем, 1ска работает с программными лицензиями.
Смысл не в количестве, а в качестве. Впрочем, я думаю, что этот вопрос более не актуален. Скорее всего буду пробовать поставить толстый клиент 1с на убунту с вайном и пытаться организовать доступ нескольких пользователей через реализацию rdp для линукс систем. Впрочем, к конкретной проработке этого вопроса ещё не приступал.
В результате использовал usb-флешку вместо TPM для шифрования системного раздела; безопасность относительная, но в моём случае приемлемая; от ovpn средствами микротика отказался, сделал сервер под дебианом на удалённом хостинге; сервер с 1с коннектится к ovpn серверу напрямую, к нему же подключаются клиенты.
АртемЪ:
в win управление доступом к файлам осуществляется на уровне OС; в nix'ах на уровне файловой системы
то есть в случае win имея непосредственный доступ к диску - например, из под другой винды - мы можем переназначить доступ так, как посчитаем нужным, просто заменив владельца файла на любого
в *nix управление доступом к файлам осуществляется на уровне файловой системы - если мы создали пользователя, назначили права на редактирование только этому пользователю, снесли линукс, поставили другой линукс - доступ к этому файлу мы уже не получим, т.к. его ACL закреплён для приказавшего долго жить пользователя на уровне файловой системы.
АртемЪ:
вопрос вот в чём: при холодном доступе к микротику доступ к паролю, отправляемому по ssh, не получить же? я не силён в nix-like ОС и файловых системах, которые они используют, но, кажется, только в fat и ntfs системах ACL хранится на уровне ОС, а не на уровне самой файловой системы?
АртемЪ:
паранойя не зашкаливает, но хотелось бы; принято решение убрать 1с из офиса; мутил вот ovpn, долго разбирался методом проб и ошибок - смог таки реализовать основанное на сертификатах подключение, с работающим crl на базе микротиковской ROS;
что б зашлифовать - хотелось бы пресечь "холодный" доступ к базам.
Только не совсем понимаю как это сделать;
Никогда толком не шифровал ничего битлокерами и Ко, максимум keepass'ом пользуюсь, с базой, зашифрованной сертификатом.
Если прописать подключение тома к системе в шедулер с применением пароля - при холодном доступе будет доступ и к этому самому паролю;
заставлять пользователей вводить пароль для доступа к шифрованному тому при подключении к RDS? К тому же через RemoteApp? Вообще не уверен что это реализуемо
если действительно используется файл ключей - то по-умолчанию он всё таки в програмдата складывается; в данный момент работает нормально работает на RDS.
на счёт копировать - ???
сильно сомневаюсь, что 1с проверяет штамп времени; а по-другому ей никак не узнать копировался ли файл...
на другой компьютер точно не получится перенести, sid никто не отменял; FlexLM, например, ориентируется на sid И mac-адрес; 1ска почти наверняка так же использует sid
в принципе, мог бы статейку на хабр накатать о подробной настройке ovpn сервера с сертификатами на ROS (авось кто нибудь инвайт бы подарил xDDD) но не знаю - стоит ли
Wine "цепляет" сетевое подключение нативно. На его стороне настраивать не нужно ничего. Если вы хотите что бы ваше приложение подключалось на определённый адрес через vpn-туннель (в данном случае ovpn) - вам нужно соответствующим образом настроить маршрутизацию в используемой вами ОС (в данном случае Linux)