[закрыто] Дайте совет по организации системы аутентификации/авторизации.
Помогаю в школе с компьютерами. В основном сейчас все сидят на альтернативной системе, хотя некоторые рабочие места и удалось перевести на линукс.
Описание ситуации:
На текущий момент порядка 60 различных машин, из них пять машин под линуксом. К новому учебному году надо будет ввести в строй ещё около сотни (точно пока не знаю).
Имеется две vlk лицензии на w2k3. На текущий момент одна из них поддерживает домен.
В соответствии с программой партии, не менее 25% машин должны быть переведены на линукс к концу года (календарного видимо).
Избавить всех от виндовс одномоментно точно не получиться.
Отказ от w2k3 ИМХО влечёт увеличение приключений (возможно я и ошибаюсь) с сетевой установкой ПО и групповыми политиками.
Использование AD для всех влечёт проблемы в заталкиванием дополнительных данных, например jabber, в него.
Как их скрестить оптимально не осознал.
Хочется построить систему аутентификации подхватывающие машины под обеими видами машин.
Кто что присоветует?
- Для комментирования войдите или зарегистрируйтесь
http://www.calculate-linux.ru/main/ru/cds
http://www.calculate-linux.ru/main/ru/cds
subj^
CDS немного смешно и много
CDS немного смешно и много несерьезно. FreeIPA. для генты надо будет точно так же вводить ручками.
GPO нет и не будет (пока в планах у FreeIPA).Есть платные продукты для запихивания GPO из АД для линух-клиентов - ~ 100$ за машину.
P.S Да, под Гентоо не работает ни то , ни другое - судя по опросу на этом форуме (и на горге) оно никому оказалось не надо ( по крайней мере помогать портировать/тестит никто не согласился.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
хм...
Реальность, данная нам в ощущениях... не находит сий продукт в Gentoo Linux, LDAP да, FreeIPA нет.
+скорость разворачивания, CDS == stage4.
Вопрос, насколько это доступно моему пониманию, был именно о Gentoo (доменное имя форума как бы намекает).
Ну и ниже народ уже высказал свое мнение.
О том и речь, в Gentoo это на данный момент не работает. Как и многие вещи, работающие в Gentoo, не работают в {Fedora,CentOS,RHEL}.
Ну я не столь религиозен, что
Ну я не столь религиозен, что бы отказываться от другого вида дистрибутива, из-за отсутствия нужного в Gentoo.
Хотя приятнее было бы в нём. Сделать руками можно всё, вопрос времени и сил.
Мне как раз показалось, что
Мне как раз показалось, что FreeIPA самый близкий вариант к тому, что я бы хотел.
По-моему, это LDAP, без
По-моему, это LDAP, без вариантов.
Я держу ejabberd с авторизацией в AD'у. Да, понадобилось шаманства немного, но всё работает. Заталкивать ничего никуда не надо, от AD требуется принять имя пользователя, пароль и вернуть «принято / не принято». Ну и данные какие-то, если надо (общий список контактов, к примеру, vCard и т.п.)
Текстовый редактор vi имеет два режима работы: в первом он пищит, а во втором — всё портит.
+1
+1
к этому еще прикручивается
к этому еще прикручивается nfs просто замечательным способом, с домашними директориями и прочими шарами. Винды кстати и еже с ним тоже через самбу к ldap прикручиваются темже макаром. Последний пункт все никак руки не дойдут сделать)
А что именно вы сделали? Уже
А что именно вы сделали? Уже обрёл интересный артефакт от подобных решений. Вот и задумался над единым способом.
Артефакт: AD проверяет учтёки. Стоит Gentoo samba server в поднятым winbind. Проблем с вин машинами нет. А теперь к нему цепляем Ubuntu и обретаем удовольствие. Т.к. при подключении по nfs лезут uid/gid и проблемы с acl. А при подключении по cifs, не удалось сходу отключить расширения для unix, и опять получил удовольствие лицезреть не действительные uid/gid, хотя на виндовые машины ходим без проблем.
Как решение - запихнуть uid/gid в AD и научить их брать от туда Ubuntu и sambu вместе с пользователями. Ну так это и есть один из рассматриваемых мною вариантов.
Однако побоялся потенциальных приключения на этом пути, т.к. прикрутить произвольную схему к AD нельзя. Как сервисы расширять? (а может оно и не надо?)
ldap как бы намекает что
ldap как бы намекает что можно авторизаваться через него. uid gui тоже будут едиными. Минус пока только один если сервак не доступен локально так не авторизуешься. А так ubuntu прекрасно учится авторизоваться через ldap. даже howto был ) привязка для вин машины идет user_comp->samba->ldap->server_comp для *nix user_comp->ldap->server_comp. Никаких проблем при этом не испытывал, вроде.
Т.к. при подключении по nfs
СЗЗБ :) - это та самая прична, по которой юзать опенлдап для гетерогенных сетий в целях AAA - геммор
прикрутить можно запросто, вот открутить уже никак ( только дизейблить часть )
Они уже там, достаточно нажать 2 кнопки ( да, схема расширяется., да, нфс на винде , да uid/gid маппится в ssid)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Как я понял, топикстартер
Как я понял, топикстартер хотел все все плишки ада - для этого голого лдапа мало.
П.С для просто тягания юзеров по сетке openldap'a вполне достаточно, для более менее ленивого админа его уже не хватает.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Ну не все. Так, некоторые
Ну не все. Так, некоторые базовые. Бегать ручками подправлять настройки безопасности или обновления накатывать более чем на 50 машинах грустно.
Как я понимаю, вам необходимо
Как я понимаю, вам необходимо отказаться от Active Directory в пользу фри?
В связи с большим и капризным штатом, к сожалению, не реализовал это у себя в конторе. Но надумки по реализации GPO были:
1. Сделать логон-скрипт для пользователей, подключающий сетевое устройство, на котором располагаются файлики вЕндоусного реестра, правящие политики.
2. Если я не ошибаюсь, политики "выгребаются" из вЕндоуса путем скачивания файлов шаблонов ADM. Т.е. можно попробовать прикрутить выгребание этих файлов из сетевого хранилища.
Конечно второй вариант предпочтительнее, так как он не нарушает refresh policy и т.п., но пока не думал о доменных сидах и прочих проблемах.
Справедливость восторжествует.
Нет такой задачи для сервера.
Нет такой задачи для сервера. Две лицензии на w2k3r2 vlk как бы намекают на бессрочность их и свободное перенесение между машинами.
Понятно он устареет в какой-то момент окончательно и не будет обновлений, Но свои функции, например аутентификации он вполне сможет выполнять.
Хочется сделать единую точку аутентификации и для unix c uid/gid и для венды с их SID/GUID... и для дополнительных сервисов.
Что бы пользователь не думал на никс или вин машине он набирает свой пароль/логин и получал автоматический доступ к одинаковому набору ресурсов.
Для этого существуют различные схемы связки софта, хотел услышать совет по наиболее оптимальной схеме в данном случае.
Политика миграции касается рабочих машин и то из под палки или за пряники.
slepnoga написал(а): Как я
Оптом, не задумываясь что и зачем нужно?
И пофиг то, что в 97% процентах случаев подавляющее большинство этих "фич" не используется.
Чего именно не хватает?
И насколько "не хватающее" реально необходимо?
:wq
--
Live free or die
Ну голый LDAP и AD имеют
Ну голый LDAP и AD имеют много общего, особенно учитывая, что дерево в AD экспортируется как LDAP.
Что именно ты имел ввиду говоря про LDAP?
Ну голый LDAP и AD имеют
Аж поперхнулся от неожиданности :) лдап из состава AD я вам запросто подыму даже на ХП - и что вам это даст ? :)
с точки зрения юзежа ни один лдап в голом виде не даст даже ААА, ибо керберос что здесь ( в *nix), что там ( в винде ).
Даст он только авторизацию , ну и при наличии самбы будет NTLM аутентификация ( что тоскливо, имхо)
П.С
про вкусные плюшки типа GPO, DFS/shadow copy, roadmap profile и прочий WSUS && RIS промолчим, ибо не тема для топика.
Да, для линукса можно самому сделать аналогичную функциональность ( сервер линукс->клиенты *nix) вопрос исключительно в затратах времени и денег.Будет ли решение рулить виндой на уровне АД - имхо, нет - иначе бы вы его давно уже продавали бы за те же 100$.
Ну или второй путь - 2 машины с чем-то рхелоподобным(от центоса до федоры) и на них фрееипа с пуппетом + контроллер АД синхронизирующий данные с фрееипа через winsync - это как компромис, ну и постепенно перетягивать воркстейшены на линух.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Ну да, пожалуй я погорячился,
Ну да, пожалуй я погорячился, настолько упростив их сравнение :-)
Про плюшки, действительно, не вспоминаю.
Попробую покрутить подобное решение.
Спасибо.
nikma написал(а): Кто что
Как по мне тоже LDAP. Если напрячься, то винду по нему тоже савторизировать можно.
не стоит в AD упираться если
не стоит в AD упираться если оно автономно(без репликаций, связей того подобного). GPO не сахар.
Если есть программа партии то надо к ней стремиться а не придумывать костыли.
Хотите решение из коробки тогда Altlinux 5 для этого и создавался, не хотите тогда стройте хоть на генте хоть на убунте хоть на калькуляторе.
Главное перестать искать аналоги виндосовским службам и программам. Эта болезнь новичков, и со временем она проходит. Но не стоит забывать что школа не в состоянии содержать хорошего спеца(седня вы помогаете завтра нет) и операться на самобытные решения в таком случае это преступление.
Цитата: не стоит в AD
Никто не ищет полных аналогов. Да, GPO не сахар, но без него дети и неумелые пользователи виндов превратят их в умершую машину, а вбивать и поправлять ограничения на многих машинах вручную - не сахар. Им не так много и надо. Поэтому многие вещи заблокированы на корню. Немотивированный отказ от этого нежелателен.
Программа партии, для десктопов.
Вопрос про изготовлении системы аутентификации для вин+никс одновременно.
Ага, поставить две независимые системы аутентификации для вин и для никс, Два независимых файл сервера, ну и так далее. А потом слушать, "где файлы" и "почему разные пароли" и т. д.
Перевести всех с завтрашнего дня нельзя. Гетерогенная сеть лишний геморрой.
Есть рекомендации по оптимальному временному сосуществованию?
Балин, повторю в 3-й раз -
Балин, повторю в 3-й раз - да, есть. мне известно аж целых 3.
выбирайте:
1) Freeipa с обвязкой.
2) w2k3R2 и выше с заинсталленой службой SFU ( для более древних качать отдельно).
3) NDS, ( eDirectory не реализует плюшки )
Да, надо иметь квалификацию хоть какую то и понимать, что делаешь и как оно работает.
Да, гемморой будет в любом случае.
Да, ркомендации есть - мсдн, течьбасе, КБ от редхата, гугл, доки по NDS.
Нет, это не 2 системы аутентификации - это одна, ибо база лдапа одна и общаяя ( да, реплицируется)
Нет, в вашем случае ( школа ) все выщеперечисленное не для вас =) -ибо наверняка бюджет
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
А в чём бюджетность помешает?
А в чём бюджетность помешает? FreeIPA не Free?
Текстовый редактор vi имеет два режима работы: в первом он пищит, а во втором — всё портит.
krigstask написал(а): А в чём
а че, кроме расходов на покупку софта ( кот. обычно от 10 до 30 % в случае мелких бюджетов) никаких расходов ? :) - ни железо ни надо , ни админа поучить, ни по машинам побегать ?
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Ну, это то, что в любом
Ну, это то, что в любом случае надо.
Текстовый редактор vi имеет два режима работы: в первом он пищит, а во втором — всё портит.