LINUX.ORG.RU
ФорумAdmin

Как во FreeIPA кучу инфы собрать по объекту?

 ,


0

2

Мне всё покоя не даёт фраза «Чтобы можно было из одного источника вытащить ответ на вопрос типа «какой номер телефона у сотрудника, который является ответственным за устройство, имеющее прямо сейчас IP адрес 2001:db8::1234».» @kmeaw, всё выдумываю повод, чтобы этот вопрос вкорячить. Писал на powershell скрипт который по IP/телефон/MAC вытаскивал всю инфу из AD, телефон->юзер-комп, PC MAC->юзер-телефон и т.п. Но фраза относилась к связке LDAP-Kerberos-DNS-DHCP, пробовал я это на Debian поднять - не взлетает из-за bind-dyndb-ldap, ну не суть, взял Альт, поставил FreeIPA, прикрутил DHCP с rndc, всё шикарно, а как инфу вытаскивать и побольше связанной? Скриптом? ldapsearch и по одинаковым значениям сравнивать? Хочу по MAC телефона размер обуви узнавать. Дайте направление.

PS У freeipa плагины же есть, пойду пока погуглю.



Последнее исправление: TepakoT (всего исправлений: 1)
Ответ на: комментарий от annulen

Про обувь это шутка, меня принцип интересует, как из разных веток инфу слепить. пользователь-права-номер телефона-mac телефона-ip компа-mac компа.

TepakoT
() автор топика
Ответ на: комментарий от Anoxemian

Не, не изобрету, только третью неделю LDAP тыкаю, две потратил на попытку завести на том дистре, откуда всё со словом freeipa выкинули. А нехрен жестко привязываться к конкретной версии libdns.

TepakoT
() автор топика
Ответ на: комментарий от thesis

В сборе инфы смысл? Может действительно ни к чему это. Просто иногда возникают заковыристые вопросы, раз в год, такие, что я и для примера их вспомнить сейчас не смогу. Что-то с айпишниками принтеров было… Значит не сильно надо.Я и ждал ответов вида:

«скриптами это делается»

«костылями это делается и всё ломает»

«у тебя комплекс бога, нинужно»

TepakoT
() автор топика
Ответ на: комментарий от annulen

Придумал пример! Как раз про вебморды. Заявка - телефон не абонент (спойлер: а он в сети и с IP). Заявка в шарепоинте. Ессно никто не удосужился написать номер телефона, да они и не знают свой. Лезу в ШП адресную книгу, искать номер юзера. Нахожу. Лезу в AudioCodes IP Phone mamager. В поиск номер телефона - нет такого. гг вп. Там бы я нажал «Открыть вебморду» и залогинил, разлогинился видать. А так IP не знаю, надо в DHCP смотреть, MAC не знаю, а поиск по нему есть. В DHCP в description ищу. Если вдруг и там нет, то пешком идти и логинить. Не проблема же, ноги размять, зачем все эти забиксы.

TepakoT
() автор топика
Ответ на: комментарий от TepakoT

я не говорил про комплекс бога, просто я честно попробовал придумать, зачем это надо.
Допустим, ты видишь какую-то сетевую аномалию, где буянит чей-то конкретный мак... Ну да, наверное, тебе нужен скрипт, копающий дхцп (мак->ип), потом днс(ип->хостнейм), потом керберос(хостнейм->юзер, но я не знаю, можно ли это сделать на стороне сервера) и затем лдап(юзер->телефон).
Но.
Представь, что тебе понадобилось выяснить это же, но событие произошло в прошлом месяце.
То есть мы приходим вопросу выбора сборщика логов, чем и как его кормить и как ему задавать вопросы.
ЛИБО ты настраиваешь на свитчах привязки порт-мак, на дхцп привязку мак-ип и задача резко становится проще.

thesis ★★★★★
()
Ответ на: комментарий от annulen

Нормальные телефоны на экране свой номер показывают.

Это не нормальные телефоны, это Skype for Bussines edition и когда они отваливаются от Lync’а то пишут «Автономно» и дату и всё. Несколько минут оно в IPP manager ещё висит, а потом протухает и только в логах выдачи IP смотреть или описании dhcp резерва.

TepakoT
() автор топика
Последнее исправление: TepakoT (всего исправлений: 2)
Ответ на: комментарий от thesis

я не говорил про комплекс бога

Это я сказал. Желание рулить всем с одного места не вставая это оно и есть :-) Так что я ждал такого ответа.

Представь, что тебе понадобилось выяснить это же, но событие произошло в прошлом месяце.

Хм… Да даже не месяц, просто событие закончилось. Не подумал.

ЛИБО ты настраиваешь на свитчах привязки порт-мак, на дхцп привязку мак-ип и задача резко становится проще.

Мне бы хватило инфы от show mac address-table address и посмотреть номер розетки на промаркированной патч-панели, но наш древний стэк на SG500X выдаёт хорошо если 30 IP. И никакими arp scan’ами его не расшевелить.

TepakoT
() автор топика
Ответ на: комментарий от kmeaw

О как, значит что-то можно делать. Пойду разбираться, что-то, по диагонали глянув, нихрена не понял :-)

Спасибо.

TepakoT
() автор топика
Последнее исправление: TepakoT (всего исправлений: 2)