Почему в России не нужны и неинтересны IDM-solutions?

когда есть вендовый сервер с AD, где уже есть ACL?

Добавлю - такие ACL, которые пока уделывают все решения из мира OSS по сумме параметров.

Абсолютно неверно.

AD = Identity Management. А так?

Нет, тоже не так. Решения IDM предназначены для прозрачной централизации управления учётными данными пользователей в разных службах каталогов и других хранилищах. Грубо говоря - надо нам поменять пароль пользователя в AD, 1С, БД Oracle - идём в консоль IDM, меняем пароль - и вуаля, он автоматом уезжает в AD, 1С и БД Oracle. А AD - это далеко не только хранилище учётных данных.

Грубо говоря - надо нам поменять пароль пользователя в AD, 1С, БД Oracle - идём в консоль IDM, меняем пароль - и вуаля, он автоматом уезжает в AD, 1С и БД Oracle. А AD - это далеко не только хранилище учётных данных.

Оххх... Вот я на днях поменял пароль по Ctrl-Alt-Del на своём компе, и получил автоматом письмо, что Global Directory Services заодно поменял пароль в порядка 30 аппликачках/баз данных/сайтов и т.д

Основа AD - LDAP. LDAP - продолжение yellow pages(NIS). Какое еще нужно хранилище, если не LDAP, которое само по себе офигенно, и работает хоть как авторизация в ОС, хоть на уровне приложений(почта, фтп, локальный интранет и т.д)? Что еще нужно?

Внимание, вопрос: зачем нам AD?

И правда - зачем? Если вы реализуете нужную вам функциональность другими продуктами, а остальная вам не нужна? Ну так ведь никто не заставляет использовать AD, верно? Или вы таки используете что-то, что к AD прибито гвоздями?

Может, мы даже купим серверную лицензию,

Если у вас есть лицензия на сервер Windows (не в редакции Web) - то больше вам никаких серверных лицензий не нужно.

которые неизвестно что и как делают, в 99% случаев не поддаются никакой отладке (Windows Server), ещё больше, чем прежде.

Если не касаться вопроса исходных кодов - то ковырять AD не сложнее, чем, скажем, OpenLDAP. Особенно, если отбросить религиозные запреты на чтение MSDN. Ж;-Р

Вот эти ваши Global Directory Services - и есть IDM. Ж;-)

Основа AD - LDAP. LDAP - продолжение yellow pages(NIS). Какое еще нужно хранилище, если не LDAP, которое само по себе офигенно, и работает хоть как авторизация в ОС, хоть на уровне приложений(почта, фтп, локальный интранет и т.д)? Что еще нужно?

Вы забыли несколько маленьких, но вполне очевидных «но». Ж;-) LDAP не монолитен - разные реализации используют разные имена для полей с одними и теми же данными - соответственно, чтобы поменять пароль одновременно в AD и OpenLDAP, например, нужна прослойка, знающая правильные имена полей и там, и там; это IDM (не вполне уверен в корректности примера именно с паролем). Некоторые приложения не умеют LDAP напрямую - соответственно, чтобы поменять пароль в таком приложении, нужна прослойка, которая знает формат хранилища учётных данных приложения и методы обращения к нему; это IDM.

Ну это уж, простите, какой быдло-бизнес, такие и специалисты. Если бизнес - однодневный и стрижёт бабло, пока налоговая маски-шоу не устроила, то он и требует стандартных решений по-бырому. Наш бизнес никак не отвыкнет от привычек 90-х годов, всё думает, что завтра - потоп, поэтому нужно побыстрее и не заморачиваться.

А почему, вы думаете, он никак не отвыкнет? Малиновые пиджаки вот сняли, а с IDM-решениями никак?

Может, бизнесмены не так и глупы в своей мании не накапливать за юрлицом легко-отчуждаемых от него активов...

Надо мыслить похожим образом. Менталитету 90х — соответствующие решения! В клауде в оффшоре... Чтобы если что, какой такой сервер? хде? помилуйте, господин полицейский, у нас все на голубиной почте было, а ваши маски-шоу всех голубей распугали-с!

Вот эти ваши Global Directory Services - и есть IDM. Ж;-)

Global Directory Services в нашем случае = AD.

LDAP не монолитен - разные реализации используют разные имена для полей с одними и теми же данными - соответственно, чтобы поменять пароль одновременно в AD и OpenLDAP, например, нужна прослойка, знающая правильные имена полей и там, и там; это IDM

Оххх... Что значит - не монолитен? Я могу как угодно обозвать поле с паролем, но в настройках pam_ldap я просто поменяю запрос, который делает модуль ldap для авторизации. Например вместо (&(pass=%%PASSWORD%%)(objectclass=person)) сделаю (&(pwd=%%PASSWORD%%)(objectclass=person))

Я меняю только запрос к базе. И так же сделаю во всех программах. Еще раз: LDAP - хранилище. Хоть AD, хоть OpenLDAP имеют стандартный набор запросов. Это как SQL базы банных - SELECT * FROM table WHERE 1; прокатит и MySQL, и в MSSQL. Ибо SQL. Так и тут - LDAP.

нужна прослойка, которая знает формат хранилища учётных данных приложения и методы обращения к нему; это IDM.

И что, чисто теоретически возможно хоть через какую-нибудь прослойку сделать авторизацию в приложении, которое умеет только свою авторизацию с логин/паролем = admin/admin при условии, что это приложение закрыто, исходников нет и автора не сыскать? Или всё же стоит отталкиваться от того, что не все приложения возможно «натянуть» на внешнюю авторизацию, и IDM вообще получается непонятно чем.


Я всё к тому, что IDM вообще в данных контекстах звучит чем-то размытым и непонятным. Нужна единая база, которую более-менее умеют многие программы - LDAP или SQL.

Рабовладельцы

Ты перепутал. Рабовладельцы - это хозяева бизнеса. А ты хотел написать про надсмотрщиков с хлыстами, которые действительно повышают эффективность. Хлыстов сейчас нет, но принцип-то кнута и пряника особо не изменился. Система наказаний и поощрений есть у любого вменяемого работодателя: премии (и лишение оных), карьерный рост, etc. Роль надсмотрщиков переложена на менеджмент.

Вот только причем тут IT?

Global Directory Services в нашем случае = AD.

Точно ли это голая AD? Ж;-)

Оххх... Что значит - не монолитен? Я могу как угодно обозвать поле с паролем, но в настройках pam_ldap я просто поменяю запрос, который делает модуль ldap для авторизации.

Ну не надо же так упираться в свою узкую область... А если нет этого pam_ldap (а для Windows его нет)? А если это вообще не LDAP?

И что, чисто теоретически возможно хоть через какую-нибудь прослойку сделать авторизацию в приложении, которое умеет только свою авторизацию с логин/паролем = admin/admin при условии, что это приложение закрыто, исходников нет и автора не сыскать?

Это можно даже практически - только времени много займёт и специалистов потребует более серьёзного уровня.

Или всё же стоит отталкиваться от того, что не все приложения возможно «натянуть» на внешнюю авторизацию, и IDM вообще получается непонятно чем.

Ещё раз. Напрямую в IDM никто не авторизуется. Это просто средство централизации УПРАВЛЕНИЯ учётными данными.

Я всё к тому, что IDM вообще в данных контекстах звучит чем-то размытым и непонятным. Нужна единая база, которую более-менее умеют многие программы - LDAP или SQL.

Это в идеальном мире. В реальном, поверьте, всё совсем не так. И в случаях, когда при смене пароля менять его нужно в куче систем по отдельности - IDM очень даже рулит.

Два... нет - три чая. Ж8-)

да ещё и думать дают возможность

Может ты хотел сказать «заставляют думать»? =)

Потому что куча бухгалтерского софта завязано на вышеупомянутые баззворды. А тетеньки-бухгалтерши, работающие за еду, завязаны на этот софт. И всё ок!

Вот уж чего, а бухсофта, завязанного на AD, лично я вообще ни разу в жизни не видел. И даже не слышал. Можно пример?

Точно ли это голая AD? Ж;-)

Сюрпрайз!

А если нет этого pam_ldap (а для Windows его нет)? А если это вообще не LDAP?

Например? Есть текстовый файл с паролями, и нужно чтоб Оракл и вендовый станции с мобильными телефонами использовали данные из этого файла? А еще чтоб фтп-авторизация тоже оттуда бралась? Так?

Это просто средство централизации УПРАВЛЕНИЯ учётными данными.

Мммм... Так выходит текстовый файл и есть это самое средство централизации? А для управления, то есть для редактирования, использовать Блокнот?


Живые примеры будут? А то ТС говорит про мифические IDM-solutions, а выходит и AD - не IDM.

Сюрпрайз!

Не-а. Голая AD такого не может. Могу предположить, что к ней прицеплен Microsoft IDM. Либо исходное сообщение - о смене пароля ещё в 30 приложениях - не совсем верно.

Например? Есть текстовый файл с паролями, и нужно чтоб Оракл и вендовый станции с мобильными телефонами использовали данные из этого файла? А еще чтоб фтп-авторизация тоже оттуда бралась? Так?

Не так.

Мммм... Так выходит текстовый файл и есть это самое средство централизации? А для управления, то есть для редактирования, использовать Блокнот?

Вы, милейший, уже в бутылку полезли. Синхронизируйте, что ли, с помощью «Блокнота» пароли в AD и eDirectory (неважно, с какой стороны будет инициирована смена пароля, клиент - Windows).

Живые примеры будут? А то ТС говорит про мифические IDM-solutions, а выходит и AD - не IDM.

AD - не IDM. IDM: Microsoft IDM, Novell nSure IDM, Oracle IDM, по ссылке ТС в одном из ответов для меня - и т.д., и т.п., и см. на обороте.

Вот уж чего, а бухсофта, завязанного на AD, лично я вообще ни разу в жизни не видел. И даже не слышал. Можно пример?

Ну всякие Navision и Axapta вполне подходят...

Microsoft IDM, Novell nSure IDM, Oracle IDM,

Вот теперь я понял, что мы говорили о разном. :-)

Ну всякие Navision и Axapta вполне подходят...

Они уже давно Dynamics.

в нормальных крупных конторах

Таких не бывает. Либо нормальная, либо крупная.

Так я же сразу описывал, чем IDM отличается от службы каталогов. Только что не сказал явно, что IDM не хранит непосредственно учётных данных пользователей, за исключением имён и соответствия между ними в разных системах (если имена в них отличаются). Ж;-)

Суть в том что ты написал очень общую фразу, которая по большей части в ИТ не применима. То что ты написал - это задачи «менеджмента», т.е. управленцев, если говорить по простому :)

Эмм... Имена-то свои они вроде сохранили, Dynamics называется линейка - разве нет?

Так я же сразу описывал, чем IDM отличается от службы каталогов.

Я уцепился в AD у ТС. :-)

Эмм... Имена-то свои они вроде сохранили,

Нет. Лет 5 назад приходило письмо от МС, где они просят называть продукты Dynamics AX для Аксапты и Dynamics NAV для Навижина, и больше не использовать Axapta/Navision для названия.

И их можно понять: ты просишь денег и ресурсов на что-то, что непонятно какую прибыль может принести и непонятно какие риски добавить.

Тебе нужно экономическое обоснование. Например, без твоей системы бизнес тратит на данный процесс N денег в год. С твоей системой - M денег в год. Внедрение стоит X. Если N>(M+2*X), у тебя есть шанс. Если (M+2*X)>N>M, то у тебя есть шанс объяснить, что «окупится». Если N<M, то обосновывать надо уменьшением рисков или появлением новых процессов, которые принесут деньги. Например, внедрение резервного копирования принесет только расход, но зато снизит простой и потери в случае выхода из строя чего-то нужного.

Если же N<M, но единственный повод внедрения звучит как «мне хочется», то шансов нет.

продукты Dynamics AX для Аксапты и Dynamics NAV

А, ну да... Я с ними редко сталкиваюсь, забыл уже.

AD - не IDM. IDM: Microsoft IDM, Novell nSure IDM, Oracle IDM, по ссылке ТС в одном из ответов для меня - и т.д., и т.п., и см. на обороте.

Почему-то пользователи систематически забывают о веб-сервисах, об аппаратных криптографических ключах, об электронных подписях (хотя вроде для EMail её довольно активно многие используют, но нужно опрос провести на эту тему). Честно говоря, мне тоже непонятно, почему IDM так тесно увязывают с серверами каталогов: технически ничто не мешает реализовать это на базе чего угодно, IDM как движок предоставляет слой абстракции, и LDAP в данном случае - это интерфейсный протокол запросов и обмена, один из многих,а не всенепременное требование, чтобы внутри был именно какой-либо сервер-каталогов.

Честно говоря, мне тоже непонятно, почему IDM так тесно увязывают с серверами каталогов

Ну просто исторически. Изначально они всё-таки обеспечивали централизацию управления именно для служб каталогов. Возникла устойчивая ассоциация - особенно устойчивая потому, что в жизни с этими зверями мало кто сталкивается.

Зачем?

Вот представь себе, что тебе нужно в одном эволюшне иметь два IMAPовских ящика - из компании 1 и из компании 2. И ты можешь это сделать. А теперь заменяем IMAP на «Эксчейнджевский мэйлбокс». И всё. Задача стала нерешаемой. А у меня тут ТРИ эксчейнджа в трех компаниях, которые вообще никак не связаны, и что теперь делать? А, точно - перенаправлять всю почту на локалхост.локалдомайн, и оттуда с ней работать по имапу.

Тебе всё еще не хочется избавиться от анального зонла майкрософта?

А теперь заменяем IMAP на «Эксчейнджевский мэйлбокс».

Прошу прощения - а разве в Evolution есть проблема с несколькими ящиками на разных Exchange?

Проблема с поддержкой эксчейнджа вообще у всех кроме MS Outlook, ибо у всех остальных, у кого оно вообще есть, оно работает через одно место (поверх OWA). А если у человека ещё и винда или макось - так вообще лютый п...ц приходит.

OWA также кривой и сделан в лучших традициях майкрософта - например, в HTML-коде он пишет <meta http-equiv=«Content-type» content=«text/html; charset=iso8859-1»>, засовывая при этом тело текст UTF8. Объяснить к чему это приводит, или сам угадаешь?

Мало того что оно анально огорожено, так еще и нихрена не работает. У меня уже истерика случается, если я слышу слово «Exchange» в сочетании со словами «почта», «домен», «контакты», «календарь» и «каталог».

ибо у всех остальных, у кого оно вообще есть, оно работает через одно место (поверх OWA)

Ну evolution-mapi, теоретически, работает через нативный протокол - и даже достаточно хорошо работает, когда работает. Что-то они там сломали пару месяцев назад - и да, приходится через exchange-ews работать.

если у человека ещё и винда или макось

А с Windows-то в чем проблема?

Объяснить к чему это приводит, или сам угадаешь?

Ну у меня пока ни к чему не приводило - так что лучше объяснить. Буду знать, где возможны подводные камни.

У меня уже истерика случается, если я слышу слово «Exchange» в сочетании со словами «почта», «домен», «контакты», «календарь» и «каталог».

Ну не знаю - я сейчас как раз через Evolution цепляюсь к Exchange - проблемы есть, но не смертельные.

А вообще, я к тому вёл, что пример не совсем корректен. Мне неизвестно ни одной технической проблемы, которая бы мешала подключить три почтовых ящика с трёх разных серверов Exchange. По IMAP. Ж;-) Да, не будет плюшек родного протокола - но, если речь о них, упоминать IMAP не надо было. Ж;-)

Ну у меня пока ни к чему не приводило - так что лучше объяснить.

К тому, что все русские буквы превращаются в тыкву.

Мне неизвестно ни одной технической проблемы, которая бы мешала подключить три почтовых ящика с трёх разных серверов Exchange. По IMAP.

Ага. Таки получается, что единственный нормальный способ работать с несколькими эксчейнджами - это не использовать анально огороженые майкрсофтовские протоколы, то есть сбежать из майкрософтовской клетки на открытые стандарты :-)

Продолжаем банкет - как получить доступ к эксчейнджевскому календарю не через Outlook. Или из Outlook к не-эксчейнджевскому календарю?

К тому, что все русские буквы превращаются в тыкву.

Предполагал такой ответ. В реальности ни разу не видел - даже интересно.

не использовать анально огороженые майкрсофтовские протоколы, то есть сбежать из майкрософтовской клетки на открытые стандарты :-)

Некорректно. Exchange всегда поддерживал POP3/IMAP. Родной протокол был создан исключительно под себя, лдля добавления плюшек без необходимости возиться с утверждением нового стандарта (ну понятно, для чего это - но тем не менее). Таким образом, в данном случае тюрьмы никогда и не было - была возможность выбора: либо стандарт, либо дополнпительные плюшки.

Продолжаем банкет - как получить доступ к эксчейнджевскому календарю не через Outlook. Или из Outlook к не-эксчейнджевскому календарю?

Я в Evolution вполне имею доступ с своему календарю на Exchange (если ничего не сломали - надо проверить, так как я редко туда лажу). Что касается Outlook и других календарей - всё зависит от. Если кому-то нужно - всегда может написать коннектор (как, например, сделано к календарям Live). Если коннекторов нет - значит, никому это особо не нужно. Впрочем, надо покопать - вроде к календарю Google тоже был коннектор. Давно я Outlook не использовал, не помню уже.

Потому что у нас убогая страна...

А почему страна убогая? Страна - это не абстрактный Путин. Это в том числе и ты. Вот и получается, что страна убогая, потмоу что в ней живут такие убогие люди, как ты.

Там, где без IT нужно было 10 сотрудников, с IT достаточно трёх.

ага и 20 чел в IT-отделе. что характерно, всегда чем-то заняты

Тебе нужно экономическое обоснование. Например, без твоей системы бизнес тратит на данный процесс N денег в год. С твоей системой - M денег в год.

Идея понятная, хотя цифры эти обычно берутся с потолка, ничего конкретного, кроме стоимости лицензий, назвать невозможнои поэтому экономические выкладки в таких ситуациях - это ловкость рук и никакого мошенничества: можно повернуть как угодно. Хочешь - получится «выгодно», а не хочешь - будет «сплошной убыток».

Здесь есть ещё один интересный аспект: вот данный процесс стоит N денег в год, а мог бы стоить... 0.3*N. А мне на это нас.ать. И моему начальнику тоже. И всем в общем-то.
Потом в стране очередной кризис - и вместо того, чтобы сэкономить 70% от N, менеджеры просто увольняют «лишних» сотрудников.
И это совершенно обыденная, самая распространённая в действииельности практика.

Я это всё к чему веду: в крупных компаниях, особенно завязанных с IT очень плотно (те же банки), должна быть очень жёсткая система внешнего аудита, дающая максимально объективную информацию о состоянии дел.

Ммм... Аууу!! Вы где-нибудь видели такую систему?

Понимаете ли, в чём проблема: это я такой фанат и готов за те же деньги выполнить лишнюю работу. А большинству всё-таки обычно всё глубоко до лампочки, лишь бы с работы побыстрее свалить и лишь бы не трогали. И если кто-то типа меня говорит: мы могли бы это сделать лучше, реакция коллектива на такие предложения негативная не отнюдь не потому, что экономического обоснования нет, а потому что не хочется что-либо менять. Т.е. важно ещё и само отношение: одно дело обрадоваться тому, что есть какие-то дополнительные возможности и «с нетерпением ждать» экономического обоснования и совсем другое - традиционно скептически сказать: «итак всё работает, а ты тут самый умный выискался».