sslug-teknik team mailing list archive

Thread
Date

Re: sikker filserver i Danmark, klienter i Ukraine.

To: sslug-teknik@xxxxxxxx
From: Jon Bendtsen <bendtsen@xxxxxxx>
Date: Tue, 24 Jun 2003 10:28:00 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <bd8sbm$1g5$1@www.sslug.dk>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
User-agent: Mutt/1.4i

On Tue, Jun 24, 2003 at 08:48:49AM +0200, Asbjørn Morell wrote:
> Jeg har fået følgende opgave af en kunde:
> Deres Afdeling i Danmark skal kunne dele filer med afdeligen i Ukraine på en
> sikker måde. Der er ikke mulighed for VPN da hastigheden på internet i
> Ukraine er simpelthen for lav/dyr. Noget i retningen af 4.000$ for en
> 512/512 Kbit forbindelse om måneden.

nasty, men hvad med en helt anden løsning?

> Der for har jeg valgt at installer en Redhat 8 med SSH på en DMZ zone i
> danmark. Jeg havde så tænt mig at oprette to brugere:
> 
> public = Brugeren som afdelingen i Ukraine skal bruge.
> verified = Brugeren som afdelingen i Danmark skal bruge.
> 
> Mappen public har rettighederne: root.verified rwx rwx rwx
> Mappen verified har rettighederne: root.verified rwx rwx r-x
> 
> Det er så meningen af brugerne i Danmark skal godkunde filerne før de bliver
> flyttet over i mappen verified. Men brugerne i Ukraine skal stadigvæk kunne
> hente filer i mappen verified.
> Det skulle fint kunne lade sig gøre med overstående rettigheder.

Alt efter hvordan deres forbrugsmønster er, så har jeg 2 foreslag.
1) rsync/unify imellem 2 linux maskiner via en ssh. Dette virker bedst
hvis der kun skal læses filer imellem de 2 afdelinger. Specielt hvis
filerne kun skal den ene vej. rsync bruger en algoritme der deler filerne
op i dele og laver md5sum/crc/... på de dele og er de ens så springs den
del over, ellers sendes den over nettet. Dette sparer en del båndbredde.
Yderligere kan man vist comprimere overførslen.

2) AFS. Dit problem nærmest skriger på en AFS løsning. Med AFS kan de
nemlig både læse og skrive, og for hastighedens skyld er data cached
lokalt på brugerens harddisk. Yderligere kan du lave distribuerede
read-only replika af data. Men også have delvist distribueret skrivning.
AFS virker ved at dele ting op i logiske enheder der så kan mountes i
træet. Dette gøres fra sysadm's side. Disse logiske enheder kan flyttes
hver for sig, og ENDDA IMENS BRUGEREN LÆSER OG SKRIVER FRA OG TIL DEN :)
Brugeren ved ikke hvor den logiske enhed er, det fortæller serverne
brugeren. Derved kunne de i danmark have sådan en filserver med de
skrivbare logiske enheder til de danske brugere på en dansk server og
de ukrainske på en ukrainsk server. Rejser en person frem og tilbage 
imellem ukraine og danmark kan denne logiske enhed flyttes fra den ene
til den anden server uden problemer.
www.openafs.org

> Jeg ville så installer WinSCP på klienterne... det er hurtight og nemt at
> bruge. (og gratis.)

Der findes både rsync og afs til windows.

> Her er så mit problem:
> Jeg ville gerne have et brugernavn pr. klient i stedet for at 10 bruger skal
> logge ind med public og 15 bruger skal logge ind med verified. Kan dette
> lade sig gøre? Grunden til dette er at hvis en bruger stopper i firmaet så
> bliver det noget bøvl at skifte password på alle de andre klienter.

Det kan sagtens lade sig gøre, men du må fortælle lidt mere om
brugsmønsteret af de data.

JonB

References

sikker filserver i Danmark, klienter i Ukraine.
From: Asbj�orell, 2003-06-24