Задача - организовать попеременно удалённую и локальную работу на офисном компе.

[tserv3]

Задача: сотрудник работает в офисе, по окончанию офисной работы блокирует экран и уезжает домой, в другой офис, командировку и т.п.. Там он удалённо подключается к своему офисному компьютеру и продолжает работу. Отключается, приезжает в офис, разблокирует экран и продолжает работу в офисе.
В новых дистрибутивах можно легко сразу получить доступ к удалённому рабочему столу через spice, vnc. Но, при таком решении не блокируется вывод на монитор и все действия пользователя могут быть видны находящимся в офисе сотрудникам и посторонним. решение: выключить монитор при уходе из офиса не подходит, как недостаточно безопасное. Есть ещё вариант с xrdp, но там как я понял удалённый доступ  будет к новому(пустому) столу, а не к открытому уже локально. И установка на BaseALT WS 10:  apt-get install xrdp   пишет, что пакета xrdp не найдено.
поиск по форуму что-то не дал результата. Как решить эту задачу? Вариант организовать терминальный сервер и перевести всю работу туда тоже не подходит. Это, пожалуй, единственная серьёзная проблема с которой я пока столкнулся при переводе с Win на BaseALT WS 10.

[Skull]

Задача: сотрудник работает в офисе, по окончанию офисной работы блокирует экран и уезжает домой, в другой офис, командировку и т.п.. Там он удалённо подключается к своему офисному компьютеру и продолжает работу. Отключается, приезжает в офис, разблокирует экран и продолжает работу в офисе.
В новых дистрибутивах можно легко сразу получить доступ к удалённому рабочему столу через spice, vnc. Но, при таком решении не блокируется вывод на монитор и все действия пользователя могут быть видны находящимся в офисе сотрудникам и посторонним. решение: выключить монитор при уходе из офиса не подходит, как недостаточно безопасное. Есть ещё вариант с xrdp, но там как я понял удалённый доступ  будет к новому(пустому) столу, а не к открытому уже локально. И установка на BaseALT WS 10:  apt-get install xrdp   пишет, что пакета xrdp не найдено.
поиск по форуму что-то не дал результата. Как решить эту задачу? Вариант организовать терминальный сервер и перевести всю работу туда тоже не подходит. Это, пожалуй, единственная серьёзная проблема с которой я пока столкнулся при переводе с Win на BaseALT WS 10.

1. И vnc и spice закрывают доступ к существующему рабочему столу паролем.
2. Технически можно xrdp настроить для доступа через vnc.
3.

Код: [Выделить]

apt-get update перед тем, как что-то доустановить.

[tserv3]

1. И vnc и spice закрывают доступ к существующему рабочему столу паролем.

я знаю что есть пароль на доступ к раб.столу. а ещё есть возможность задать второй пароль для блокировки монитора при удалённой работе? что-то в конфиге для spice не увидел.

[Skull]

Нет, нельзя.

[YYY]

уезжает домой, в другой офис, командировку и т.п.

это попытка повторить 1в1 функции винды ... тогда пущай сотрудник всегда работает через rdp - толь в своем офисе, хоть дома хоть в другом... делов то...

[tserv3]

естественно, это попытка сделать как есть сейчас на вин. но как-то неожиданно оказалось, что вполне естественное требование по безопасности простыми средствами "из коробки" не выполняется. вариант локально работать через rdp я видел, видимо придётся разбираться с ним. хотя, есть сомнения, что это будет удобно юзеру.

[YYY]

ну может тогда кто отпишется с каким альтернативным решением.

но можно же просто отключать монитор :)
иначе все равно если есть физический доступ к компьютеру - то какая тут безопасность...

[kessys]

идею в ассистент, и готовое русское решение

[Nicom]

сотрудник работает в офисе, по окончанию офисной работы блокирует экран и уезжает домой

И тут отключают питание. Если компьютер сотрудника и вся сетевая инфраструктура без питания через нормальный UPS, который может всё это продержать хотя бы минут 10, то какой смысл это делать?
Для таких сотрудников нужно создавать терминальный сервер, независимый от компьютера пользователя, с доступом к необходимому вне работы функционалу и файлам.

[telets]

У нас примерно так и работают: есть сервер debian 11; на нём 1С, libreoffice и т.д. На debian терминальный сервер FreeNX, а на компах nxclient или, начиная с p10, rxclient.
Вот и получается, что пользователь в офисе работает по удалёнке с сервером, из дома через openvpn с тем же сервером и с ноута с любой точки мира тоже через openvpn.
При этом всё это не требует покупки софта.
Для организации шлюза с интернет  используем pfsense (тоже бесплатно).
В офисе всё на SL 8 или 10.
Кстати, SL10 очень хорош!!!

[tserv3]

ну может тогда кто отпишется с каким альтернативным решением.

но можно же просто отключать монитор :)
иначе все равно если есть физический доступ к компьютеру - то какая тут безопасность...

безусловно, можно взять комп и унести, но это уже криминал и вне зоны действия админа. а если он заблокирован хорошим паролем, то что посторонний человек может сделать? пытаться подобрать пароль, так через несколько неправильных попыток доступ на некоторое время блокируется.  а вот случайно положить документ на клавиатуру, подвинуть мышь ну и заодно посмотреть на монитор (на котором в этот момент, например набирается ДСП письмо) для этого надо просто находиться рядом.

[tserv3]

сотрудник работает в офисе, по окончанию офисной работы блокирует экран и уезжает домой

И тут отключают питание. Если компьютер сотрудника и вся сетевая инфраструктура без питания через нормальный UPS, который может всё это продержать хотя бы минут 10, то какой смысл это делать?
Для таких сотрудников нужно создавать терминальный сервер, независимый от компьютера пользователя, с доступом к необходимому вне работы функционалу и файлам.

и тут не отключают без предупреждения питания годами, есть исправный UPS для сервера и коммутаторов, Wi-Fi точек, исправный UPS для рабочего компа (или этот комп - ноут с исправной батареей) - фантастика? нет, просто обычная работа обычного офиса и обычного сисадмина.

[Nicom]

фантастика?

Повезло с финансированием IT отдела. Далеко не везде так.

Вообще, удалённый доступ к конкретному ПК пользователя не есть правильно, как минимум, по выше изложенным причинам. Лучше дать ограниченный функционал наружу с сервера терминалов, то есть доступ к необходимым программам и файлам. Понятно, что файлы должны располагаться на сетевом ресурсе, чтобы были доступны и с ПК на рабочем месте и с сервера терминалов.

[tserv3]

пользователи бывают разные. и есть такие у которых работа связана с разными софтами, ключами, подписями и т.д. которые либо нормально не установишь на терминальный сервер, либо это будет там работать кое-как. так же есть категория сотрудников у которых их рабочие проги и документы должны быть всегда под рукой. по-моему это очевидно.  и сейчас получается решение такое - всегда таскать с собой домой и в другие офисы свой рабочий ноут. что просто физически неудобно, если надо всего пару часов поработать из дома вечером или на выходных.

[Nicom]

ключами, подписями

сейчас получается решение такое - всегда таскать с собой домой и в другие офисы свой рабочий ноут.

В таком случае только такой способ является легитимным. В инструкции к любым электронным ключам написано примерно следующее. "Собственник не имеет права передавать ключ третьим лицам. Использование ключа возможно только лично на сконфигурированном рабочем месте собственника. Собственник несёт полную ответственность в случае неправомерного использования ключа". О какой информационной безопасности может идти речь, если ключ попросту постоянно воткнут в системник, в помещении с другими людьми, когда собственника ключа рядом не наблюдается?