nixp.ru v3.0

26 мая 2017,
пятница,
16:10:45 MSK

DevOps с компанией «Флант»
Anarchist написал 26 декабря 2007 года в 15:36 (515 просмотров) Ведет себя как мужчина; открыл 258 тем в форуме, оставил 4097 комментариев на сайте.

Согласиться с ролью вечного догоняющего, отдать права арбитра оппоненту — путь ведущий к неизбежному поражению.

Именно поэтому задачи/вопросы с воспроизведением домена Windows средствами Linux (или *BSD или чего ещё по вкусу) — суть не просто пустая, но вредная трата времени.

С другой стороны, отвергать здравые идеи, содержащиеся в этой концепции, тоже глупо.

Первым пунктом в решении данной проблемы стоит описание сущности домена.

Без использования Windows-специфичных терминов/решений.

Однако гугл в увлечении практикой не слишком балует теорией:

http://en.wikipedia.org/wiki/Windows_Server_Domain

http://ru.wikipedia.org/wiki/%D0%94%D0%BE%D0%BC%D0%B5%D0%BD_Windows_NT

Может decvar поделится ссылкой на определение в MSN (не ищу в силу некоторых сомнений в существовании того, что мне нужно).

Идея достаточно проста (собственно — нулевое приближение к ответу на вопрос):

Разделение сущности пользователей на системных (которым дают shell и которые работают непосредственно на машине) и пользователей сервисов.

Для второй категории — переход к централизованному хранению учётных записей пользователей. В результате — единая пользовательская база для некоторое количества сопряжённых приложений/сервисов. Здесь наверное имеет смысл представить список таковых для домена NT, домена 2003 (наверное, если я не ошибаюсь) и соответствующего собственным представлениям о целесообразности.

Ну, с серверной частью в случае с Linux всё понятно: практически инвариантно это — OpenLDAP (материал для статьи по развёртываю OpenLDAP-2.3 server’а готов). Для большинства приложений сопряжение с LDAP-сервером предусматривается (не всё здесь так просто и безоблачно, на примере Самбы могу показать). Но морковка стоит усилий.

Остаётся вопрос нативного user-side agent’а (мы не пытаемся воспроизвести домен Windows!!!).

Также считаю нужным рассмотреть область применимости (целесообразности) данного решения..

neogeisha
Anarchist
Согласиться с ролью вечного догоняющего, отдать права арбитра оппоненту — путь ведущий к неизбежному поражению.

Именно поэтому задачи/вопросы с воспроизведением домена Windows средствами Linux (или *BSD или чего ещё по вкусу) — суть не просто пустая, но вредная трата времени.

….

почему трата времени? поясни

вобще, в чем существенная разница между «AD in windows» и openldap ?????

я честно говоря не уловила разницы когда ставила openldap + samba

можно этот момент на пальцах объяснить???

нащет разделения прав:

я себе представляю так:

есть база с пользователями, в зависимости от потребностей шелл указываем на фальш или зсш

и тут же есть вторая база, скажем для самбы

и просто нужно добавить пользователя в эту группу.

зы. на практике не помню что получилось…. =))

То же самое что и в виндовс. и в чем разница?

Anarchist
neogeisha
почему трата времени? поясни

Потому что признание за оппонентом право судить и определять стандарты равнозначно признанию поражения.

neogeisha
вобще, в чем существенная разница между «AD in windows» и openldap ?????

Где определение существенности? ;)

neogeisha
я честно говоря не уловила разницы когда ставила openldap + samba

можно этот момент на пальцах объяснить???

Смотря что и как ставить.

Можно и не заметить.

Навскидку:

AD — ограничение на величину выборки в 1000 записей.

Увеличивать это значение категорически не рекомендуют. Absolutely no warranty.

OpenLDAP — стандартное умолчательное значение, задаваемое при компилляции — 500.

Можно без проблем менять в широком диапазоне (10 — 5000) или вообще отключить нафиг.

neogeisha
нащет разделения прав:

я себе представляю так:

есть база с пользователями, в зависимости от потребностей шелл указываем на фальш или зсш

и тут же есть вторая база, скажем для самбы

и просто нужно добавить пользователя в эту группу.

Т.е. на самом деле пользователя в системную базу добавлять придётся…

Думается мне, оно предполагает, что и системная авторизация тоже сделана через LDAP…

Кстати, интересно: можно ли использовать составную базу пользователей (стандартную для системного уровня и LDAP для пользователей сервисов).

neogeisha
То же самое что и в виндовс. и в чем разница?

Ну, хотя бы то, что стабильная ветка Самбы ЕМНИП всё ещё не поддерживает набора функций [хотя бы] домена 2000 (где и насколько они вообще нужны — отдельный вопрос).

Так что — иди ублажай уговаривай decvar’а высказаться по этой теме. :)

REDkiy

AD является реализацией LDAP под Windows.

Плюс к нему прикручено DNS,практически намертво.

Опыта пока маловато,но это напоминает: OpenLDAP+BIND+Samba

P.S. Мне кажется это абсолютной чепухой. 8-)

Anarchist
REDkiy
AD является реализацией LDAP под Windows.

Плюс к нему прикручено DNS,практически намертво.

Т.е. фактически далеко не только LDAP.

И ни фига не standalone, на него закручено много чего системного (часто — лишне).

REDkiy
Опыта пока маловато,но это напоминает: OpenLDAP+BIND+Samba

Samba-то в Unix на фига?

REDkiy
P.S. Мне кажется это абсолютной чепухой. 8-)

Ты не прав.

Хотя здесь многое зависит от того: на каком уровне ты работаешь: число серверов, число пользователей и список сервисов.

REDkiy

Уточняю.Сам этот тройственный союз мне кажется чепухой.

Даже если в сети только Linux-клиенты,Samba может оказаться лучшим выбором чем NFS.

Хотя связка OpenLDAP+Samba имеет определенные перспективы.

Лично меня привлекает идея «работать вместе» разных сервисов.А идея «работать круговой порукой» нет.

В виндовом сервере(2003 в частности)все собрано в один клубок.На первый взгляд все вроде бы связано вполне логично,хотя вникая глубже становится малопонятным откуда какая нитка торчит(мое мнение).

Сейчас я нигде не работаю.Мой уровень согласно твоей квалификации 0. 8-)

Anarchist
REDkiy
Уточняю.Сам этот тройственный союз мне кажется чепухой.

Дык я его и не упоминал даже :)

REDkiy
Даже если в сети только Linux-клиенты,Samba может оказаться лучшим выбором чем NFS.

Аргументируй.

REDkiy
Хотя связка OpenLDAP+Samba имеет определенные перспективы.

В том-то и дело, что МОИ перспективные проблемы выходят далеко за рамки этой связки.

REDkiy
Лично меня привлекает идея «работать вместе» разных сервисов.А идея «работать круговой порукой» нет.

Меня же здесь интересует возможность унификации механизма авторизации (и баз пользователей).

Причём если с серверной стороной всё практически ОК, то с клиентской (для *nix) — грустно.

Хотя, может в SuSE над этим работают (ждём высказывания Эвила).

REDkiy
Сейчас я нигде не работаю.Мой уровень согласно твоей квалификации 0. 8-)

Просто сейчас база практических наблюдений не обеспечивает собственного мнения относительно того когда, насколько и что именно нужно.

REDkiy
Аргументируй.

NFS предлагает аутентификацию по ip-адресу.Причем она подразумевает ,что на хосте-клиенте пользователь не может получить административные права.Сервер NFS доверяет информации об идентификаторе пользователя,которую он получает от клиента.При наличии прав рута,возможно подменить его и получить доступ к файлам других пользователей.

NFS интегрировано в ядро,Samba запускается как пользовательский процесс.

Если честно я NFS ни разу серьезно не пользовался.Рассуждения полутеоретические. 8-)

Меня же здесь интересует возможность унификации механизма авторизации (и баз пользователей).

Причём если с серверной стороной всё практически ОК, то с клиентской (для *nix) — грустно.

Хотя, может в SuSE над этим работают (ждём высказывания Эвила).

По моему все это дает LDAP.

Просто сейчас база практических наблюдений не обеспечивает собственного мнения относительно того когда, насколько и что именно нужно.

Тут ты прав,практически проверить удается достаточно мало,а проверить в реальной работе,не удается совсем. 8-(

Anarchist
REDkiy
NFS предлагает аутентификацию по ip-адресу.Причем она подразумевает ,что на хосте-клиенте пользователь не может получить административные права.Сервер NFS доверяет информации об идентификаторе пользователя,которую он получает от клиента.При наличии прав рута,возможно подменить его и получить доступ к файлам других пользователей.

Ну… Я в NFS пока глубоко не залезал. Сейчас играюсь с другими сервисами.

Но ЕМНИП авторизацию по сертификатам можно сделать.

Тот факт, что модулем ядра я не считаю фатальным (тут правда встаёт вопрос об обоснованности запихивания DHCP во все дыры).

REDkiy
NFS интегрировано в ядро,Samba запускается как пользовательский процесс.

Если честно я NFS ни разу серьезно не пользовался.Рассуждения полутеоретические. 8-)

Пофиг.

Драйвер сетевой карты всё равно идёт модулем ядра :)))

REDkiy
По моему все это дает LDAP.

Server side — да.

С клиентской — насколько я въехал в проблему, не всё так безоблачно.

REDkiy
Тут ты прав,практически проверить удается достаточно мало,а проверить в реальной работе,не удается совсем. 8-(

Полноценное тестирование — в лучшем случае 50% трудоёмкости. А когда и больше.

metal
REDkiy
NFS предлагает аутентификацию по ip-адресу.Причем она подразумевает ,что на хосте-клиенте пользователь не может получить административные права.Сервер NFS доверяет информации об идентификаторе пользователя,которую он получает от клиента.При наличии прав рута,возможно подменить его и получить доступ к файлам других пользователей.

Ты не думаешь что это офигенной дырой было бы? Насколько я помню свой id пользователь должен паролем подтвердить. Но точно не скажу, использовал nfs только в технологическом плане и пользователя nobody всегда хватало.

metal
metal
Ты не думаешь что это офигенной дырой было бы? Насколько я помню свой id пользователь должен паролем подтвердить. Но точно не скажу, использовал nfs только в технологическом плане и пользователя nobody всегда хватало.

Да вот не прав я был, пароль там не нужен, действительно аутиенфикация по хосту. Согласен что это слабое место. ip ведь подделать можно. Может конечно все шифровать, но изначально слабое место в дизайне.

neogeisha
Anarchist
Потому что признание за оппонентом право судить и определять стандарты равнозначно признанию поражения.

ну всяких стандартов дофига и больше,

просто где то разунее приминять именно этот стандарт а не другой

(это я  так в общем)

Где определение существенности? ;)

я разницы не вижу, кроме как возможные проблемы с миграйшен,

помоему отлично работает если 2003 в режиме совместимости с 2000 и НТ4

вроде как без проблем мигрируется в обе стороны…

Т.е. на самом деле пользователя в системную базу добавлять придётся…

Думается мне, оно предполагает, что и системная авторизация тоже сделана через LDAP…

Кстати, интересно: можно ли использовать составную базу пользователей (стандартную для системного уровня и LDAP для пользователей сервисов).

ну так пользователей везде надо добовлять,

а почему нет?

дай шел и права и судо поправь

я когда ставила-пыталлась понять лдап

создавала пользователя, каторый мог в сисему входить и мог что попало вытворять,

но он не мог зайти в самбу, только запускать перезапускать сервис

и пользователя который ходил в самбу но не в сисему

(ты про это? =) )

Ну, хотя бы то, что стабильная ветка Самбы ЕМНИП всё ещё не поддерживает набора функций [хотя бы] домена 2000 (где и насколько они вообще нужны — отдельный вопрос).

ну а тебе какие функции нужны?

думаю я что скриптики различного жанра в сети есть

честно говоря, кромя функции миграции в 2003 никаких интересных функции не вижу

да и вобще лдап это прежде всего база, в которой только данные хранятся

кроме копировать, вставить, удалить мигрировать там в принципе ничего не нужно,

да и то это всего лишь каркас на основании чего можно применить какие либо санкции и действия к кому или чему нить

Anarchist
neogeisha
ну всяких стандартов дофига и больше,

просто где то разунее приминять именно этот стандарт а не другой

(это я так в общем)

Теперь я не лучшим образом выразился.

Имелась в виду монополия на формирования шкалы оценок: что есть хорошо, а что есть плохо.

neogeisha
ну так пользователей везде надо добовлять,

А потом удалять…

Во от этого я и хочу уйти.

neogeisha
а почему нет?

дай шел и права и судо поправь

На фига?

neogeisha
я когда ставила-пыталлась понять лдап

создавала пользователя, каторый мог в сисему входить и мог что попало вытворять,

но он не мог зайти в самбу, только запускать перезапускать сервис

и пользователя который ходил в самбу но не в сисему

(ты про это? =) )

Ты про пользователя домена?

neogeisha
ну а тебе какие функции нужны?

Централизованная база пользователей различных сервисов.

В идеале: с структурированием по группам: кому что можно.

neogeisha
честно говоря, кромя функции миграции в 2003 никаких интересных функции не вижу

да и вобще лдап это прежде всего база, в которой только данные хранятся

кроме копировать, вставить, удалить

Дык 2003 мне вообще побоку.

База — на физическом уровне. И не совсем обычная база.

Главное же здесь — протокол доступа.

neogeisha
мигрировать там в принципе ничего не нужно

Дык я про миграцию и не говорю.

neogeisha
Anarchist
Теперь я не лучшим образом выразился.

Имелась в виду монополия на формирования шкалы оценок: что есть хорошо, а что есть плохо.

за мою небольшую практику в этом мире я поняла что в каждом дистрибе есть свои подвобные камни, так что вся оценка сводится на каком дистрибе это хорошо работает и количество пользователей этого дистрибутива по отношению

к дистрибутивам там где не очень работает

вобщем все это очень уж относительно

А потом удалять…

Во от этого я и хочу уйти.

удалять если только пользователь уволился с работы,

или что то другое имел ввиду?

от занесения пользователей ты никуда не уйдешь

На фига?

Ты про пользователя домена?

ну да, про пользователей в лдап, тоесть принцип работы индеетичен схемы работы в ад 2003, те же работы с политиками групп

как мне кажется то что тебе надо

Централизованная база пользователей различных сервисов.

В идеале: с структурированием по группам: кому что можно.

так вод, говорю же, смотри выше

вобщем есть пользователь

ну не совсем может быть…

REDkiy

Насчет NFS, в стандарте версии 4, многое в плане безопасности поменялось.

ну да, про пользователей в лдап, тоесть принцип работы индеетичен схемы работы в ад 2003, те же работы с политиками групп

как мне кажется то что тебе надо

Исторически, разграничение прав в Линукс и виндовс, построены на разных принципах.

Хотя сейчас и существуют так называемые ACL-списки.

И все же даже это достаточно далеко, от групповых политик и подхода к разграничению прав в виндовс.

LDAP можно использовать и для ведения общей базы пользователей и для распространения настроек компьютеров в сети.