1. Реализация терминального
решения в ОАО
«Челябэнергосбыт»
Евгений Лотош, CCЕA
Ведущий инженер
Quorus ACS, Екатеринбург
lev@quorus.ru +7 343 376-23-00
2. Описание ландшафта
• ОАО «Челябэнергосбыт» - это:
– Основное энергоснабжающее предприятие
Челябинской области
– Центральный и два дополнительных офиса в
Челябинске
– Шесть расчетных центров в Челябинске
– Восемь подразделений в других городах области
– Около 1400 сотрудников
– ПО сторонних производителей, в том числе -
защищенное лицензионными USB-токенами
– ПО собственной разработки для решения специальных
задач
– Некорректное поведение ПО в многопользовательской
среде (доступ на запись в запрещенные папки)
22
3. Возникающие сложности
• Распространение новых версий ПО по рабочим
станциям осложнено
• Организация обладает распределенной
территориальной структурой – личный выезд на
место не всегда возможен
• Пользователи забывают пароли на вход в сеть
• Пользователи забывают пароли на доступ к
приложениям
33
4. Решение №1: XenApp
Сложности распространения ПО решаются
применением терминальной фермы Citrix XenApp 5
(Presentation Server) в центральном офисе
Ключевые особенности:
• централизация приложений на терминальной ферме
• автоматическая балансировка нагрузки между серверами
фермы
• автоматические средства мониторинга здоровья серверов
• режим изоляции приложений для решения проблем с
записью в неположенные места
• удаленный доступ пользователей к приложениям через
веб-интерфейс фермы
44
5. Решение №1: XenApp (продолжение)
Ключевые особенности решения (продолжение):
• наращивание терминальной фермы не требует
выездов на места и перепланировки
инфраструктуры
• первый этап – пилотная ферма для обкатки
решения в центральном офисе
• второй и последующий этапы - подключение
пользователей удаленных подразделений (через
веб-интерфейс или классический клиент ICA)
• низкая нагрузка на межофисные каналы за счет
средств протокола ICA
55
6. Решение №2: Password Manager
Сложности с запоминанием паролей
пользователями решаются с помощью Citrix
Password Manager 4.6
Ключевые особенности:
• привязка к учетным записям Active Directory
• хранение базы паролей в зашифрованном виде
в Active Directory
• множественные политики парольной защиты и
автоматическая генерация паролей
• работа с любыми типами приложений
66
7. Решение №3:
двухфакторная аутентификация
Пользователи не любят запоминать сложные пароли и
менять их
Пароли записывают на бумажке и оставляют в
неположенных местах
Выход - двухфакторная аутентификация:
• для входа в сеть применяются персональные аппаратные
USB-ключи Aladdin eToken Pro
• распределенная система служб сертификации Windows
Server 2003
• прозрачная интеграция с Password Manager
• при отзыве ключа и/или сертификата Password Manager
использует подтверждение личности пользователя при
помощи системы типа «вопрос – ответ»
77