MANIEK Logo Mój Asystent Nauki Informatyki i Egzaminów Klasyfikacyjnych
Logowanie
ASSO / Linux Server / Projekt systemu kont

14 — Projektowanie systemu kont dla wybranej firmy

Czas: 90 min

Cele i treść

Cele:
  • Uczeń wyjaśnia przeznaczenie usługi lub narzędzia w systemie Linux.
  • Uczeń zna najważniejsze pliki i polecenia administracyjne.
  • Uczeń wykonuje konfigurację w terminalu lub narzędziu graficznym.
  • Uczeń testuje działanie usługi i dokumentuje wynik.

Lekcja obejmuje temat: Projektowanie systemu kont dla wybranej firmy.

Główne części: Analiza potrzeb firmy: działy (np. Księgowość, IT, Marketing), role, wymagany poziom dostępu., Tworzenie polityki bezpieczeństwa: zasada najmniejszych uprawnień., Projektowanie struktury grup jako podstawy do nadawania uprawnień., Dokumentacja utworzonej struktury., Projekt w grupach 2-3 osobowych.

Notatka:

Import przygotowany z rozkładu klasy 2. Po imporcie można dopisać własne screeny, załączniki, zadania i kryteria oceniania.

#grupy#uprawnienia#użytkownicy

Punkty lekcji

1 - Analiza potrzeb firmy: działy (np. Księgowość, IT, Marketing), role, wymagany poziom dostępu.opis

Do uzupełnienia.

2 - Tworzenie polityki bezpieczeństwa: zasada najmniejszych uprawnień.opis

Do uzupełnienia.

3 - Projektowanie struktury grup jako podstawy do nadawania uprawnień.zadanie

Do uzupełnienia.

4 - Dokumentacja utworzonej struktury., Projekt w grupach 2-3 osobowychzadanie

Do uzupełnienia.

5 - Analiza potrzeb firmyopis

Identyfikacja działów i ról: Uczniowie muszą przeanalizować opis firmy, aby wyodrębnić logiczne działy (np. Księgowość, IT, Marketing, Sprzedaż, Kadry) oraz konkretne stanowiska lub role w tych działach (np. Analityk, Specjalista ds. marketingu, Programista, Administrator).

Określenie wymaganego poziomu dostępu: Dla każdej roli należy zdefiniować:

Do jakich danych/dysku sieciowego/zasobów potrzebuje dostępu? (np. folder //serwer/ksiegowosc, baza danych, katalog /var/www/html).

Jaki to powinien być typ dostępu? Tylko do odczytu (read-only - ro) czy również do zapisu/modyfikacji (read-write - rw)?

Czy użytkownik potrzebuje uprawnień administratorskich na swoim stanowisku pracy? (czy należy do grupy sudo).

6 - Tworzenie polityki bezpieczeństwa: Zasada najmniejszych uprawnień (Principle of Least Privilege - PoLP)opis

Definicja: Jest to fundamentalna zasada bezpieczeństwa polegająca na przyznawaniu użytkownikom minimalnego poziomu dostępu niezbędnego do wykonania ich obowiązków służbowych.

7 - Wprowadzenie pojęćnotatka

Dostęp do odczytu (ro): Użytkownik może tylko przeglądać pliki, ale nie może ich modyfikować, usuwać ani dodawać nowych. Bezpieczniejszy typ dostępu.

Dostęp do zapisu (rw): Użytkownik ma pełne uprawnienia do modyfikacji, usuwania i tworzenia plików w obrębie danego zasobu. Należy go przyznawać ostrożnie.

Przykład zastosowania: W dziale księgowości:

Księgowa Anna (tworzy faktury, raporty) potrzebuje dostępu rw do folderu //serwer/ksiegowosc/rozliczenia.

Audytor Jan (tylko sprawdza poprawność) potrzebuje dostępu ro do całego folderu //serwer/ksiegowosc.

8 - Projektowanie struktury grup jako podstawy do nadawania uprawnieńzadanie

Strategia "Group-Based Access Control": Uprawnienia nadaje się grupom, a nie pojedynczym użytkownikom. Użytkownicy otrzymują uprawnienia poprzez członkostwo w odpowiednich grupach.

Konwencja nazewnictwa grup: Zaleca się używanie przejrzystych i spójnych nazw, np.:

departament_zasob_dostep – finance_invoices_rw

zasob_dostep – webserver_ro

rola – backup_admin

Tworzenie logicznych grup: Należy stworzyć grupy odpowiadające zidentyfikowanym poziomom dostępu, np.:

finance_ro – dostęp tylko do odczytu do zasobów finansowych.

finance_rw – dostęp do zapisu i odczytu do zasobów finansowych.

it_admin – uprawnienia administratorskie do infrastruktury IT.

marketing_assets – dostęp do zasobów marketingowych.

9 - Dokumentacja utworzonej strukturyopis

Cel: Stworzenie przejrzystego opisu, który jest kluczowy dla utrzymania systemu, onboardingu nowych pracowników i audytu bezpieczeństwa.

Elementy dokumentacji:

Lista grup: Nazwa grupy, opis przeznaczenia, powiązane z nią uprawnienia do systemu plików.

Lista użytkowników: Login, imię i nazwisko, dział, grupa podstawowa, grupy dodatkowe.

Macierz dostępu: Tabela pokazująca, które role (grupy) mają dostęp do których zasobów i z jakimi uprawnieniami.

10 - Ćwiczenia praktyczneopis

Do uzupełnienia.

11 - Uczniowie otrzymują opis firmy (np. "Firma 'XYZ' ma 3 działy...").opis

Do uzupełnienia.

12 - Projektują listę niezbędnych grup (np. finance_rw, finance_ro, it_admin).zadanie

Do uzupełnienia.

13 - Projektują listę użytkowników i przypisują ich do odpowiednich grup.zadanie

Do uzupełnienia.

14 - Implementują swój projekt na maszynie wirtualnej, używając wyłącznie terminala.,zadanie

Do uzupełnienia.

15 - Szczegółowy opis ćwiczeń praktycznych (Projekt grupowy)zadanie

Scenariusz firmy dla uczniów (przykład):

"Firma 'TechSolutions Sp. z o.o.' zatrudnia 8 osób w trzech działach:

IT (2 osoby): Jan Kowalski (Administrator Sieci), Anna Nowak (Programistka).

Księgowość (2 osoby): Maria Wiśniewska (Główna Księgowa), Piotr Jabłoński (Księgowy).

Marketing (2 osoby): Adam Kot (Kierownik Marketingu), Ewa Lis (Specjalistka ds. Social Media).

Kadry (2 osoby): Olga Szymańska (HR), Robert Wójcik (Rekrutacja).

Zasoby firmowe:

Wszyscy pracownicy potrzebują dostępu do odczytu do folderu z dokumentacją firmową (/firma/dokumenty).

Dział IT potrzebuje pełnego dostępu do wszystkich zasobów.

Księgowość potrzebuje dostępu do zapisu do folderu z fakturami (/firma/ksiegowosc/faktury) i tylko odczytu do folderu z raportami (/firma/ksiegowosc/raporty).

Marketing potrzebuje dostępu do zapisu do folderu z materiałami reklamowymi (/firma/marketing/aktualne) i tylko odczytu do folderu z archiwalnymi kampaniami (/firma/marketing/archiwum).

Kadry potrzebują dostępu do zapisu do folderu z umowami (/firma/kadry/umowy).

Tylko Administrator Sieci (Jan Kowalski) powinien mieć uprawnienia administratorskie na serwerze."

16 - Ćwiczenie 1: Analiza potrzeb i projekt grup.zadanie

Cel: Przełożenie opisu firmy na logiczną strukturę grup.

Kroki (w grupie):

Zidentyfikuj wszystkie wymagane poziomy dostępu z scenariusza.

Zaproponuj nazwy grup dla każdego poziomu dostępu, stosując przyjętą konwencję (np. dokumenty_ro, faktury_rw, raporty_ro).

Stwórz listę wszystkich niezbędnych grup. Przykład:

dokumenty_ro (dostęp do odczytu do dokumentacji)

faktury_rw (dostęp do zapisu do faktur)

raporty_ro (dostęp do odczytu do raportów)

marketing_aktualne_rw (dostęp do zapisu do aktualnych kampanii)

marketing_archiwum_ro (dostęp do odczytu do archiwalnych kampanii)

umowy_rw (dostęp do zapisu do umów)

it_fullaccess (grupa dla działu IT z dostępem do wszystkiego)

sudo (grupa administratorska - już istnieje w systemie)
17 - Ćwiczenie 2: Projektowanie użytkowników i przypisanie do grup.zadanie

Cel: Stworzenie mapy użytkowników i ich uprawnień poprzez przynależność do grup.

Kroki (w grupie):

Dla każdego pracownika z scenariusza stwórz login (np. jkowalski, mwisniewska).

Określ grupę podstawową dla każdego użytkownika (zazwyczaj grupa o nazwie takiej jak login).

Przypisz każdego użytkownika do wszystkich grup, które definiują jego uprawnienia. Stwórz tabelę:

18 - Ćwiczenie 3: Implementacja projektu na maszynie wirtualnej.zadanie

Cel: Praktyczne wdrożenie zaprojektowanej struktury wyłącznie za pomocą terminala.

Kroki (każda grupa wykonuje na swojej maszynie):

Utwórz wszystkie zaplanowane grupy za pomocą polecenia sudo groupadd [nazwa_grupy].

sudo groupadd faktury_rw
sudo groupadd raporty_ro

#... i tak dla wszystkich zaplanowanych grup

Utwórz użytkowników za pomocą sudo useradd -m -c "Imię Nazwisko" [login].

sudo useradd -m -c "Jan Kowalski" jkowalski
sudo useradd -m -c "Anna Nowak" anowak

#... i tak dla wszystkich użytkowników

Ustaw hasła dla użytkowników sudo passwd [login] (można ustawić proste hasło, np. takie samo jak login, na potrzeby ćwiczenia).

Dodaj użytkowników do grup za pomocą sudo usermod -aG [grupa1,grupa2] [login]. Pamiętaj o opcji -a!

sudo usermod -aG it_fullaccess,sudo jkowalski
sudo usermod -aG it_fullaccess anowak
sudo usermod -aG faktury_rw,raporty_ro,dokumenty_ro mwisniewska

#... i tak dla wszystkich użytkowników według tabeli

Zweryfikuj poprawność wykonanych operacji:

# Sprawdź członkostwo użytkownika

id jkowalski

groups mwisniewska

# Sprawdź, czy użytkownicy mają katalogi domowe

ls -l /home

Powiązane arkusze i pytania

Arkusze

Brak powiązanych arkuszy.

Pytania

Brak powiązanych pytań.