PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Home-Verzeichnis für Aussendienstmitarbeiter



tatjana
14.02.11, 17:17
Hallo,
wir haben an unserem Institut viele Mitarbeiter, die Unterwegs Zugriff auf Ihr Homeverzeichnis brauchen. Die Mitarbeiter haben teilweise 3 PCs, ein PC im Büro, ein Notebook für die Arbeit im Wald und dann arbeiten sie noch mit dem heimischen PC. Wir haben einen internen Linux-Server mit den Home-Verzeichnissen.
Ich suche nach einer idiotensicheren Lösung, am besten ohne VPN. Die Benutzer sollen auf dem heimischen PC, den ich nicht kontrollieren kann nicht irgendwelche Software installieren müssen und mich dann ständig nerven das etwas nicht klappt.
Der Datenschutzbeauftragte erlaubt nicht den Server in die DMZ zu stellen. Hat jemand eine Idee? Danke schonmal für alle Tipps!

solarix
14.02.11, 17:28
Hallo,
wir haben an unserem Institut viele Mitarbeiter, die Unterwegs Zugriff auf Ihr Homeverzeichnis brauchen. Die Mitarbeiter haben teilweise 3 PCs, ein PC im Büro, ein Notebook für die Arbeit im Wald und dann arbeiten sie noch mit dem heimischen PC. Wir haben einen internen Linux-Server mit den Home-Verzeichnissen.
Ich suche nach einer idiotensicheren Lösung, am besten ohne VPN. Die Benutzer sollen auf dem heimischen PC, den ich nicht kontrollieren kann nicht irgendwelche Software installieren müssen und mich dann ständig nerven das etwas nicht klappt.
Der Datenschutzbeauftragte erlaubt nicht den Server in die DMZ zu stellen. Hat jemand eine Idee? Danke schonmal für alle Tipps!

Mir würde auf die Schnelle entweder Citrix Terminalserver Infrastruktur einfallen. Oder Sun Secure Global Desktop (http://en.wikipedia.org/wiki/Sun_Secure_Global_Desktop) ist Tarantella basiert.
Beides kostet aber Geld.

Ansonsten würde ich mal die Liste (http://en.wikipedia.org/wiki/Comparison_of_remote_desktop_software) hier durchkucken.

nopes
14.02.11, 17:29
spontan eher nicht, jedenfalls nichts was so sicher ist wie vpn und ohne extra Software läuft.

WebDAV könnte das erreichen, ist aber eben auch nicht so sicher kann aber immerhin via https verschlüsselt werden, abgesehen davon, muss der Rechner bzw. Server dann in die DMZ!!!

tatjana
14.02.11, 17:35
abgesehen davon, muss der Rechner bzw. Server dann in die DMZ!!!

Ist denn Sicherheitstechnisch gegen folgendes etwas einzuwenden:
LAN-Server----Netzwerkverbindung----DMZ-Server
Über die Netzwerkverbindung werden nur die Ports für Glusterfs zwischen diesen beiden Servern erlaubt. Sowas habe ich gerade in einem anderen Forum zufällig gelesen. Dann habe ich ein Clusterfilesystem das simple zu installieren ist und es können die Dateien auf beiden Servern gleichzeitig bearbeitet werden. Wegen dem Datenschutzbeauftragten würde ich nur die Home-Verzeichnisse auf dem DMZ-Server einrichten, die auch von ausserhalb arbeiten.

solarix
14.02.11, 18:19
Ist denn Sicherheitstechnisch gegen folgendes etwas einzuwenden:
LAN-Server----Netzwerkverbindung----DMZ-Server
Über die Netzwerkverbindung werden nur die Ports für Glusterfs zwischen diesen beiden Servern erlaubt. Sowas habe ich gerade in einem anderen Forum zufällig gelesen. Dann habe ich ein Clusterfilesystem das simple zu installieren ist und es können die Dateien auf beiden Servern gleichzeitig bearbeitet werden. Wegen dem Datenschutzbeauftragten würde ich nur die Home-Verzeichnisse auf dem DMZ-Server einrichten, die auch von ausserhalb arbeiten.

Nun ich behaupte mal, wenn Ihr nach irgend einem ISO Kram zertifiziert seid, wird der Datenschutzbeauftragte, bei Abnahme im Kreis springen. Ohne VPN Lösung mit Token oder ähnlichem wird es wohl nicht gehen. Es wäre zu überlegen, ob man für sowas nicht wirklich Geld in die Hand nehmen will, oder sich irgendwas zurecht frickelt.

heatwalker
14.02.11, 19:05
Wenn es was kosten darf, SSL VPN. ;)

nopes
14.02.11, 19:58
Hi,

naja so eine Lösung Richtung qad (quick and dirty) hat ja im Unternehmenskreisen nicht so viel Sinn, aber ich will sie mal nicht vorenthalten: mach einen Skript der den Rechner in de DMZ regelmäßig mit updates aus dem sicheren LAN füttert - rsycn o.ä. So braucht immerhin kein Zugriff DMZ Richtung LAN statt finden.

In der DMZ Apache installieren, WebDAV konfigurieren, fertig...

mamue
22.02.11, 09:19
Port forwarding auf den internen Webserver möglich? Es gibt eine Art Browserbasierten smb-Zugriff ich glaube, das Projekt hieß jacifs (java cifs), jedenfalls bekommst Du browerbasiert echten Zugriff auf Windows-Freigaben (samba) und nicht netdav. Ich würde mir aber dennoch, auch wenn Du das explizit nicht haben wolltest, OpenVPN anschauen. Ich habe damit gerade im Bereich der Endbenutzer gute Erfahrungen gemacht. Das Zeugs ist sehr einfach zu installieren und auch wenig erfahrene Benutzer kommen damit klar. Die Benutzer müssen aber in der Lage sein, einige Dateien (die Konfiguration plus Zertifikate) an eine vorgegebene Stelle im Dateisystem zu kopieren. Dennoch: Im Vergleich zu IPSec (FreeSWAN) ein Kinderspiel.

Viel Erfolg
mamue