Перемещаемые windows-like профили пользователей[solved]
semlanik 23 октября, 2010 - 11:20
Всем привет, возник следующий вопрос:
есть openldap сервер(FreeBSD), и фаловое хранилище(gentoo).
Соответвенно на фаловом хранилище поднят домен на самбе и nfs.
Вот такой вот вопрос:
Можно ли в Linux сделать перемещаемый профиль, win-like. Проблемы собственно 2:
1. Пользователи в случае если сервак в дауне не получатся по getent. В win если пользователь один раз вошел отсавит запись о себе и в случае если сервак упадет сможет войти снова
2. Можно ли сделать синхронизацию локального профиля win-like опятьже, ато от того что пользователь залогинится без профиля мало толку.
Ну и основной вопрос куда копать что почитать. Пока мне пришла на ум только самоделака с ~/bashrc которая будет синкать профиль. мб есть какие-то идеи получше?
»
- Для комментирования войдите или зарегистрируйтесь
Сервера под никсами поднимают
Сервера под никсами поднимают не для того, чтоб они лежали в дауне. Соответственно гарантированно рабочий профиль можно получить ежели выгнать нерадивого администратора.
Коль скоро вы решили ввести централизованную аутентификацию и хранение данных, извольте настроить сервера так, чтоб в дауне они не были.
>>В win если пользователь один раз вошел отсавит запись о себе и в случае если сервак упадет сможет войти снова
Это дыра в системе безопасности. Венда кэширует пароли, в том числе и админа, ежели он зашел на комп нечто поправить. Кэш достаточно легко изымается, есть куча программ для его брутфорса. Правильный админ запрещает кэшировать пароли пользователей. В винде эта бага по умолчанию включена.
Для работы я пользую локальную учетку. Профиль опять жеж держу локально, потому как чужим в профиле админа делать не чего.
Для остальных юзверей можно былоб организовать централизованное хранение, но вот что не стал бы делать так это "синхронизцию". Сеть должна работать, в противном случае хранить в ней данные нежелательно.
Читать lsag lnag abs.
Это дыра в системе
Метки:
Нотбуки, далеко, сейлс-менеджер, в путь, уволенный админ,кому надо - тот поймет
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
угуг, а теперь вернемся с
угуг, а теперь вернемся с небес на землю ибо речь идет о школе, где сделать отказоустойчивую систему невозможно из-за материальных ограничений. А то что вы против хранения профилей это ваше личное дело. есть конкретная задача, в случае если шнурок переедут, кто-то выключит из розетки свитч, нужно чтобы у пользователя не умирал комп вплоть до хард ресета, а все продолжало жить как живет. В общем мир это ваш мир, кэш паролей это плохо да, но нужно сделать конкретную задачу.
Знакомая ситуация...
По этой самой причине от домена на Calculate 10.4 пришлось отказаться - при падении сети/отключении сервера клиенты просто виснут намертво. Помогает только перезагрузка, которая затягивается на 3-5 минут, при этом если сеть не восстановлена до начала загрузки клиента в домен войти невозможно (без соотетствующих телодвижений) и процесс загрузки затягивается на те же 3-5 минут. 10.9 научился кешировать пароли, а синхронизация профилей есть и в 10.4. Однако, меня повторять эксперимент не тянет - CIFS, на котором построена сеть Calculate, очень не любит внезапных отключений этой самой сети. Сейчас использую Calculate в качестве быстроразворачиваемой системы и только.
ЗЫ
Речь идет о сельском Управлении образования. Ситуация с нерадивыми уборщицами и рандомно отключающимися свитчами аналогичная. Я уж молчу про невменяемый UPS, от которого запитан контроллер домена...
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Давай разделим задачу: 1)
Давай разделим задачу:
1) кеширование паролей, причем вменяемое
2) кеширование профилей
По п1 - я долго смотрел на калькулейт, понял что решено довольно наколенно ( TTL пароля как я понял там нет) - поэтому sssd спасет любого админа(для того собственно и делал, тестил на ноутах - работат)
2) сложнее - слишком много путей :). Самая трабла будет с синхронизацией, и если с виндами я ее обычно DFSом ( что не спасает, но все таки немного упрощает), то с Линуксом - варианты: aufs, что то на основе рсинка, что то самопальное. вобщем я не решился :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
тогда предлагаю сделать
тогда предлагаю сделать наоборот, вместо единого хранилища иметь центральный сервер с которым все синхронизируются, при необходимости. Тогда при отвале сервера/сети и т.д. не будет вообще никаких проблем.
если я написал не понятно -
если я написал не понятно - то поясняю - я не против профилей, и сделать их вполне можно
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Ну вы написали как раз
Ну вы написали как раз понятно ;) А вот товарисч выше навел просто не совсем нужную критику. с sssd все ясно. Насчет синхронизации наверно остановлюсь на rsync. В общем-то за sssd спасибо, это то чего мне не хватало )
В общем как отлажу все это добро попробую написать более или менее вменяемое howto на wiki. Всем спасибо.
Мне, как мантайнеру sssd
Мне, как мантайнеру sssd будет крайне интересно. С нетерпением жду :)
Алсо, в ближайшие 2 недели в рионе будет 1.4.0 с поддержкой Гентоо ( патчи вошли в эту апстрим версию)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Можно ли в Linux сделать
Конечно. И он был сделан раньше, чем в виндовсе(NIS)
есть кеширование ( оперативное - nscd, долговременное - sssd)
Конечно можно.
П.С есть же калькулейт ( и его оверлей) - начни оттуда
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
PAM умеет помнить о паролях,
PAM умеет помнить о паролях, даже если не доступен контроллер домена.
P.S.
Я бы рекомендовал, раз уж есть две машинки, на обеих поднять домен контроллер и настроить репликацию.
От этого будет больше толку.
С уважением.
Kappac написал(а): Я бы
Шо такое домен и его контроллер?
В данном конкретном случае.
:wq
--
Live free or die
наверно имеелся ввиду sync
наверно имеелся ввиду sync openldap базы. ну по крайней мере я пока на этом варианте остановился
.
Логичная реакция (на
getent) :)А конфигурация странная.
Что за OpenLDAP на FreeBSD? И что там ещё есть?
Доступность базы пользователей обеспечивается резервированием ресурса.
В данном случае рекомендую два OpenLDAP-сервера в режиме зеркала с балансировкой запросов средствами DNS.
:wq
--
Live free or die
Насчет openldap будет просто
Насчет openldap будет просто slave на файлсерваке, это да, к этому тоже пришел почти сразу. а вот поднимать второе файлохранилище уже не получится ) потому профили таки прдется синкать.
На втором серваке полный венегрет, там в jail's понапихано много всего разного, ну и собственно это шлюз. В любом случае значения это большого не имеет ибо основные 3 возможные проблемы - это отключение электричества в месте где стоит сервер(упса там хватит где-то на 25 минут, как раз чтобы серваки благополучно выключились) и оборванные провода, с этим сложнее ибо времени бегать их заменять у меня нет. Ну и такая косвенная причина если например от старости подохнет БП или еще чего другое(тьфу тьфу тьфу). Насчет зеркала не соглашусь, смысла в этом не вижу, ибо openldap не нагружен особо, ну а файло хранилища как я уже сказал второго не получится )