Управление LDAP (*nix)

тебе нужно бросать пить

Ну скажем пришел новый сотрудник, руководитель отдела сам садится и заводит ему учетную запись

Со стороны параши^W госухи раздалось громкое «ахахахахахаха!»

Посетила меня следующая мысль, а почему бы не переложить задачу по заведению/контролю/ведению/ пользователей на плечи руководителей отделов, кадры

Мысль выкинуть можешь в окно: первый раз, может, процентов 40 и сделает то, что ты описал, потом забьют болт.

Виндовые решения не интересны

ПК у тебя на какой ОС? Если винда, то DS - однозначно винда. Если линуха, то в зависимости от дистрибутива имеются различные решения изкаропки у различных дистрибутивов.

В своё время задумывался над унификацией и единой базой. Пришёл к выводу о том, что плясать нужно от самой большой базы людей в организации. А какая самая большая? Правильно, база СКУД, т.е. пропускного режима. Пропуск есть у всех, а вот учётки нужны не всем. Создание учёток в итоге свелось к импортированию данных через самопальный модуль с костылями в несколько кликов.

Я немного не об этом. Нужен инструмент, который позволит управлять каталогом LDAP через «вебморду» с разным уровнем доступа, ну и возможностью дописать чего..

Судя по твоей аватарке, тебе тоже!

Ну в его понимании руководителям заняться нечем, как пользователей заводить.

Получается что и отдел кадров не нужен, а зачем? Пусть руководитель отдела сам садится и заводит нового сотрудника, по документам там проводит. И бухгалтерия не нужна - пусть руководитель отдела сам считает своих сотрудников и зарплату им выдает. Уборщицу тоже можно выгнать - пусть за своими сотрудниками сам унитазы моет, а то ишь

Думаю, здесь вот в чём суть: делегировать свои обязанности на различных должностных лиц, обучить их, настроить так, чтобы всё работало, и подать предложение на сокращение своей должности.
Руководитель организации в итоге будет в восторге!

Иначе, даже не представляю, для чего это всё заваривается…

делегировать свои обязанности на различных должностных лиц

В том то и дело, что как вы правильно сказали - это его обязанности.

Если «перевернуть» картину, то «должностные лица» не приходят к нему и не говорят, что их обязанности теперь он будет выполнять?
Скорее всего по причине того, что он не сможет это сделать корректно или эффективно.

Даже если он настроит какие-то волшебные инструменты, то при любом изменении в инфраструктуре это все начнёт сыпать ошибками, руководители отделов начнут ошибаться, выдавать не те права или не выдавать те, которые нужны, люди будут простаивать, ошибки накапливаться.

Я уж не говорю что он с чего то решил, что кому то его сраный «аудит» будет нужен т.е. будто бы есть хоть одна причина, стимул для того, чтобы в эти системы залезать и что-то «приводить в порядок».

Он очевидно под наркотой.

Все что ему нужно сделать, как я это вижу - это заставить руководителей выполнять их обязанности, уведомлять нужную службу о приеме на работу, уволнении и изменениях в позиции (отделах).

Обычно отдел кадров в курсе таких изменений естественным обычным образом - так что есть, с кого спрашивать.

Я не хочу углубляться в вопросы бизнеса тут, и уж тем более обсуждать наши решения! Советов в том, как устроить работу ИТ-подразделения, тоже не нужно. Если коробочного решения, или близко нет. То будем писать ТЗ и разрабатывать.

Пришёл к выводу о том, что плясать нужно от самой большой базы людей в организации. А какая самая большая? Правильно, база СКУД, т.е. пропускного режима.

Неа. Вася может ходить по пропуску Пети и всем пофиг. Самая реальная база «живых» это бухи.

Ага. Типа, как было: Руководитель -> Начальнику админа: У нас появился новый сотрудник ФИО.
Как стало:
Вариант 1.
Руководитель -> Начальнику админа: Я нифига не помню как там делать, у нас появился новый сотрудник ФИО.
Вариант 2 лучший случай:
Руководитель, как там было... клик, жмяк, блямс... в базе уже хз что...
Начальнику админа: У нас появился новый сотрудник ФИО. Сам пробовал, нифига не работает.
Вариант 2 случай хуже:
Руководитель, как там было... клик, жмяк, блямс... в базе уже хз что...
Руководитель -> Боссу: У админов нихрена не работает.
Босс -> Админам «ПОЧИНИТЬ!»
Босс -> Кадрам «Лишить админов премии!»
Вариант 3. Тоже что и Вариант 2 только без пункта «клик, жмяк, блямс...» а сразу к Боссу.

Софт такой есть, только проприетарный.

То, что ты описал - совершенно обычная практика для энтерпрайза. Там системным администраторам запрещено заводить учетки, это делают специально обученные люди (ID-админы), у которых нет админских прав. А аппрувят и ресертифицируют это каждые 3 месяца руководители. Естественно, все это автоматизированно (руководительнь нажал аппрув -> автоматически завелась учетка).

Из софта посмотри, например, Quest One Identity Manager.

Только учитывай, что это энтерпрайз, а значит, большие бабки.

Давай давай, пиши, чем больше самописных велосипедов ты внедришь, тем интересней будет работать

Не, ну если бы нормальная морда для рулежки лдапом существовала, то действительно, напихивание туда юзеров лучше бы отдать кадрам.
Только это должна быть действительно кастомная (сильно упрощенная) морда, чтобы там были ФИО, логин-пароль и пачка чекбоксов навроде «уволен», «может подключаться из дома», «может получать почту» и т.д.

Иначе одмен регулярно получает вопросы типа «привет, я вася, а чота я не могу зайти в одинэс с дачи» и сидит мучительно соображает, кто такой вася и можно ли ему с дачи в одинэс. Или вопли от кадров же «ПАЧИМУ У НАС ВАСЯ ВСЕМ КЛИЕНТАМ РАЗОСЛАЛ ДИКПИК С КОРПОРАТИВНОГО АДРЕСА, МЫ ЖЕ ЕГО НА ТОЙ НЕДЕЛЕ УВОЛИЛИ КАК ЭТО Я ТЕБЕ НЕ СКАЗАЛА Я СКАЗАЛА! СКАЗАЛА!!!»

Ах да, ТС - инициативный пионэр с шаловливыми ручками. «Снести» это примерно настолько же умное решение, как «сломать в бухгалтерии шкаф, потому что в нем папки стоят не по порядку».

действительно, напихивание туда юзеров лучше бы отдать кадрам

Ну да, админы же заняты тем, что торги проводят. Техника же нужна, вот пусть админы сами и закупают!

Так и живем…

ЯННП.

Предлагаешь людям заниматься не своим делом.

Кадровика такое понятие как «учетная запись» вообще волновать не должно. Ну только разве что своя, в идеале — единственная.

То что ты (и тс видимо) предлагаешь зело процветает в бюджетных конторах, где админ немного юрист, немного закупщик и еще неведомо кто. Ну и у других должностей тоже разброд и перекладывание обязанностей.

Не, ну если бы нормальная морда для рулежки лдапом существовала, то действительно, напихивание туда юзеров лучше бы отдать кадрам.

Ога, ога. И выглядеть это будет приблизительно так. В лучшем случае: Але, это Маша из кадров у нас тут новый сотрудник мы не можем... В худшем: Маша из кадров, блямс, бумс, фигак... в жопу. Пуск-программы-word «Начальнику... админы нифига не делают...».

Это все помимо случаев когда действительно, что-то в вашей морде поломалось. А поломаться в принципе может, где-то что-то поменяли, а про то что раз в год по обещанию кадры заводят, забыли.

Эх, лучше бы сами и закупали, раньше закупали и ничего, все довольны были. А с этими торгами... техника говно, закупается по ценам боингов...

Особенно доставляет весь этот фарс в условиях «единственного поставщика». Когда нужно купить конкретную вещь, которая есть только у конкретного поставщика и то под заказ. Очень няшно пейсать требуемые параметры в этом случае. А сколько людей протирает штаны в креслах на бюджетной пайке, обслуживая этот маразм…

Кстати вся эта шняга касается не только ИТ. Абсолютно всего! Просто вспомнилось, поставка шпилек, это стальной стержень с резьбой, пришли... стержни... без резьбы! И это хоть из очевидного. Хуже когда приходит «нечто», ты знаешь что производитель этого «нечто» выгодно отличается «умом и сообразительностью», но прямо прикопаться не к чему. В результате этот мусор остается гнить на складах, а народ пытается «чучелом,тушкой» чинить старое проверенное.

Кадровика такое понятие как «учетная запись» вообще волновать не должно.

Действительно, ведь Вася Иванов и vasya_ivanov никак не связаны, и знать васины обязанности, где вася находится и нахрена он вообще нужен должен именно админ.

То что ты (и тс видимо) предлагаешь зело процветает в бюджетных конторах, где админ немного юрист, немного закупщик и еще неведомо кто.

И немного кадровик. Ой, это не я предлагаю, а ты.

Действительно, ведь Вася Иванов и vasya_ivanov никак не связаны, и знать васины обязанности, где вася находится и нахрена он вообще нужен должен именно админ.

Кадровик Васины обязанности тоже не обязан знать.

Эх, лучше бы сами и закупали, раньше закупали и ничего, все довольны были. А с этими торгами… техника говно, закупается по ценам боингов…

Я считаю админ должен толковое ТЗ написать и обосновать руководству. А сидеть на всех этих кошмарных сайтах, что-то там размещать, трясти бумаги с поставщиков… брр.

Что «ога ога»? Может, админ и в каком-нибудь 1с:кадры должен работать? Ачо, это ж программа, вдруг Маша ниасилит.

Отставить вот эту вот виктимность, короче. «Маша психанет и напишет начальнику, о боже мой, срочно надо выполнить машину работу, а то атата».

А сколько людей протирает штаны в креслах на бюджетной пайке, обслуживая этот маразм…

Ну зато эти люди достаточно быстро пересаживаются в достаточно комфортные кресла автомобилей и т.п.
Вообще да. Даже если рассматривать «нормальный» вариант. Это когда нужен вот именно этот поставщик/исполнитель, в результате тупо тратиться больше ресурсов для того что бы это исполнить.

Кадровик Васины обязанности тоже не обязан знать.

Бггг. Кстати, где оформляется трудовой договор? У админа?

А сидеть на всех этих кошмарных сайтах, что-то там размещать, трясти бумаги с поставщиков… брр.

Иногда этим занимаются закупщики, иногда завхоз, иногда - админ (когда хочет лично поиметь откат, например). Всякое бывает.

Бггг. Кстати, где оформляется трудовой договор? У админа?

Про учетные записи в трудовом договоре что сказано?

Может, админ и в каком-нибудь 1с:кадры должен работать?

Вы не путайте, «обеспечить работу» с «работать». Обеспечить работу 1с дело ИТ-ков. Работать в ней дело пользаков. Обеспечить удаленную работу дело ИТ-ков, работать дело пользаков.

Ты не думай, что так мощно обосравшись ты будешь меня тут допытывать как ни в чем не бывало. Тем более идиотскими вопросами.

Так я и говорю про «обеспечить работу фронта к лдапу», и нехай хуманы работают. Был бы достаточно дружелюбный фронт.

Потому что ну, когда одмину конторы в 500 человек звонят по телефону со словами «галя послезавтра в отпуск», чтобы он ей в почте редирект включил, ну это же маразм.

Может вообще возможно с упомянутым 1с так это задружить, что хуманы и знать не будут, что рулят лдап-каталогом.

Слив засчитан.

Да ты вообще всех победил и мужественно отстоял свое право выполнять чужую работу ггг.

Ну если для тебя администрирование учеток для админа — чужая работа, то мне дополнить нечего.

Потому что ну, когда одмину конторы в 500 человек звонят по телефону со словами «галя послезавтра в отпуск», чтобы он ей в почте редирект включил, ну это же маразм.

Да, но обеспечить возможность редиректа только тем кто на это имеет право и только на определенный список адресов это таки дело админа.

Ну да, в рамках программы «обеспечить работу фронта к лдапу». И то, насчет списка адресов - не админово это дело, думать о том, кому там имеет право редиректить письма каждый из пятиста вась.

Безусловно. Всё как и с данными. За работу системы отвечает админ, за данные в ней тот кто с ними работает.

Иначе одмен регулярно получает вопросы типа

Проблема в том, что он в любом случае будет все эти вопросы получать.

В моем выдуманном мире он будет получать их сильно реже.

В твоем выдуманном мире увеличенное количество людей жмущих важные кнопки почему-то должно уменьшать количество ошибок.

ну реальный мир быстро тебя поправит, не переживай.

Во-первых, я заботился не о количестве ошибок, а о распределении полномочий. Во-вторых, я не переживаю насчет того, поправит меня что-то, или нет.

За что я действительно переживаю,так это за людей, которые из реального мира бегают собачиться на мой выдуманный ЛОР, при этом так яростно защищая этот самый «реальный мир» с его косяками, как будто он их верный союзник и любящая мамочка (а не довел их до довольно заметной степени остервенения).

Во-первых, я заботился не о количестве ошибок,

А зря ты о них не заботишься.

а о распределении полномочий

Распределение полномочий должно приносить пользу, а не вред
Оно не нужно само по себе. Распределять полномочия можно тем людям, которые с ними справятся, а не которые будут к тебе обратно возвращаться с проблемой.

Во-вторых, я не переживаю насчет того, поправит меня что-то, или нет.

Слишком буквально ты интерпретируешь слова.

Если тебе или ТСу охота на ровном месте сделать себе больше работы, увеличить расходы, изобрести очередной самописный велосипед на ровном месте, увеличить количество ошибок попутно бесмыссленно настроив против себя руководителей подразделений - то кто вам может помешать?

Точно не я. Я могу сказать что это глупо, имею на это право.

А с чего бы мне вдруг об этом заботиться? Я, как бывший админ, размышляю о роли и обязанностях админа в организации, о кадрах пусть голова болит у эйчаров.

Распределять полномочия можно тем людям, которые с ними справятся, а не которые будут к тебе обратно возвращаться с проблемой.

Это такая разновидность одминской профдеформации - отделять себя от остального человеческого вида. Админ сможет мышкой галочки натыкивать, а маша-кадровик ВНЕЗАПНО НЕ ОСИЛИТ. Да щас же.
По уму именно маша должна размахивать мышкой в специально сконфигуренной ERP, а не одмин из пяти консолей колдовать по звонку или письму. Да чего там, толковый одинэсник мог бы навалять морду для типовых кадровых задач, чтобы маша даже окошки не переключала.

на ровном месте сделать себе больше работы

Это не ровное место, см. пример с почтой и отпусками. Да и вообще офигенный ты айтишник: «автоматизация это говно, работы только добавится, ничего не будет работать, продолжайте закат солнца вручную (руками админа)».

о кадрах пусть голова болит у эйчаров.

А речь не о кадрах, а об учетных записях и их особенностях в администрируемых админом системах.

Админ сможет мышкой галочки натыкивать, а маша-кадровик ВНЕЗАПНО НЕ ОСИЛИТ. Да щас же.

Админ за свои действия отвечает, а маша-кадровик отвечает за прием на работу. Админ знает что за галочками стоит, а маша-кадровик - нет. Админ знает как исправить условный white space и чем он грозит в поле в котором нет проверки на него, а маша-кадровик даже не подозревает о существовании в этом мире подобного.

Без проблем, она натыкает. А разгребать её тыканье разного рода будет админ. В итоге - у неё больше работы, у админа больше работы, у сотрудника проблемы, у начальника жалоба. Отлично.

По уму именно маша должна размахивать мышкой в специально сконфигуренной ERP

Маша может размахивать где хочешь, но за последствия этого махания будешь ты отвечать, только и всего.

Если маша ошибется в документах - спросят с неё. Если ошибется в учётке или найдет баг в софте из-за которого что-то будет не так - спросят с тебя.

Я не знаю почему тебе нужно такие примитивные вещи объяснять, возможно потому что ты никого еще не заставил нести ответственность за свои действия, а я уже пробовал это сделать многие сотни раз.

автоматизация это говно, работы только добавится, ничего не будет работать

Автоматизация - это исключение человека, а не замена одного человека (умного), другим человеком (глупым за пределами своей зоны ответственности), через еще одного человека-прокладку (кодера интерфейса)

А то что ТС придумал - это х**а, а не автоматизация.
Причём придумал он это чтобы якобы был порядок, но это все вообще ни к какому порядку не ведет. Потому что если беспорядок не карается, то ни у кого никакого стимула не создавать его нет. Как создавали учётки как попало, как выдавали права как попало, лишь бы работало - так и продолжат. Просто делать это будет не 1 человек, а 10. И не через коносоль, а через морду в которой еще программисты нахерачат ошибок, а другие люди, когда этих дебилов уволят, потом этот велосипед будут поддерживать и исправлять.

В итоге имеем что имеем - ТС придумал проблему на ровном месте и вместо того чтобы её решить придумал вовлечь в неё кучу людей и увеличить затраты на её решение, так и не добившись результата по выдуманной им проблеме.

Ну вперед, мне то что. Тем более что ТС там что-то согласовал, ЛОЛ.

В итоге имеем что имеем - ТС придумал проблему на ровном месте и вместо того чтобы её решить придумал вовлечь в неё кучу людей и увеличить затраты на её решение, так и не добившись результата по выдуманной им проблеме.

Люто плюсую!!!

Это было очень тяжело читать, просто какой-то непрерывный крик ужаса, издаваемый жертвой выученной беспомощности. МАША НЕ ЗНАЕТ ЧТО ЗНАЧИТ ГАЛОЧКА, ОНА ЖЕ ВСЕ СЛОМАЕТ А МЕНЯ НАКАЖУТ.

Вписать v_pupkin в поле «логин» и чего-нибудь в поле «пароль», и поставить галочки напротив «разрешить доступ в интернет»/«удаленный доступ»/«пользоваться вайфаем»/«пустить в почту» это ж усраться как сложно, и такой простор для косяков, которые надо будет РАЗГРЕБАТЬ, что аж жуть. Или при увольнении очередного васи клацнуть «вася уволен, я уверена» - тоже ого-го какой квалифицированный труд.

«Многие сотни раз», чот скромно, не миллионы разве?

удачи!

И зря. Все правильно он придумал. Админа вообще не должны колыхать имя, должность и нелегкая судьба любого одушевленного юнита, шатающегося по конторе, если этот юнит не его начальник или подчиненный (хаха, подчиненный).

Спасибо, взаимно, но это к ТСу, мне в целом уже давно пофиг.