могу пррчесть man chmod/chown с выражением вслух за 200уе в час +оплата проезда.

По хэшам? echo ну_и_чо_с_тово >>skype.exe

Угу. А про закешированный логон мы забыли? Только не начинай про его отключение - потому как в этом случае, если сервер не находится в радиусе 100мбит, проблемы случатся не позднее чем через 30 дней.

А если локально, то как обмениваться документами?

Ни разу не встречал. Все используют стандартные UNIX permissions.

Если тебя поспрашивать, так все линуксоиды вообще сидять в putty с венды, читают почту через less /var/mail/$USER и используют { EDITOR=sed vipw ; } для заведения пользователей. Ну так вот сразу скажу - это неправда. Мы используем ACL, правим юзеров в каталоге графической конфигурялкой (если нам не в падлу её запускать).

графической конфигурялкой

Как я понимаю, речь идет про localhost? Так вот, твой localhost никому не интересен и зоопарк из acl'ей можешь тут разводить какой хочешь.

Как я понимаю, речь идет про localhost?

Нет, речь иде про каталог из нескольки сотен юзеров, раскиданых по разным городам на площади 1.5 x 4 тыс. кв. км.

И он будет установлен ему в хомяк.

Ну правильно, чего. А потом он понадобится еще одному пользователю - и будет установлен в еще один хомяк. Ручками, через SSH. Удобно, современно.

Сиди дальше в своем палеолите, читая маны вслух.

ЛОЛШТО

Да вот это самое, чувак. Хватит уже луркосленга, если чего не знаешь, то у майкрософта есть ряд познавательных веб-ресурсов.

На заре нашего офиса в Минске

Всем пофиг заря вашего офиса в Минске. Контроллер домена может спокойно валяться в темном углу того же удаленного филиала и тихонько делать свое дело.

Вообще, конечно, это очень весело, пытаться своим непониманием работы вендового AD оправдать неуправляемость линуксовых сетей.

чудо-одмины запретили запуск чего-бы-то-нибыло через политики, мы по приколу выломали их «защиту» и начали запускать бинари через макросы ворда и жабоприложения ;-)

Хм. Получается, политика действует не на системный вызов exec (или что там в венде), а на... что? cmd.exe и explorer.exe?

можно и nfs использовать

да нельзя, ибо жопа с правами.

Рут поможет тебе разрулить все права.

В винде без админа, юзеры также нихера поменять не могут. Т.е. если на смб-шаре у виндоюзера есть его собственный файл, то добавить в список ACL кого-то/что-то он не может вообще, в то же время на nfs шаре юзер, по-крайней мере, может сделать chmod и урезать/расширить доступ на свой файл.

Ну правильно, чего. А потом он понадобится еще одному пользователю - и будет установлен в еще один хомяк. Ручками, через SSH. Удобно, современно.

Не обязательно в хомяк ставить. Можно в отдельную директорию, типа /opt/skype/ и доступ к директории юзерам рулить через группу.

неуправляемость линуксовых сетей.

А мне кажется, что вы управляемость не там применяете. Зачем зажимать клиентский комп., когда можно доступ в интернет разруливать на проксе, запуск скайпа не ограничивать, а не дать ему доступ в интернет и т.д.

Объясните мне смысл урезающих политик примененных к клиентским машинам?

Да здесь скайп просто как пример. Представь, что это пасьянс.
Через права ФС можно рулить и в венде, но неудобно же. Кстати, о правах на ФС. В линуксовых ФСах есть возможность включения/отключения наследования ACL и обхода перекрестной проверки AKA bypass traverse checking?

запуск скайпа не ограничивать, а не дать ему доступ в интернет и т.д.

Это еще умная прокся нужна, чтобы скайп резать. Вот, кстати, давно хочу тему в Admin насчет интернет-шлюзов создать, сегодня надо бы.

Объясните мне смысл урезающих политик примененных к клиентским машинам?

Ну е-мое, на колу мочала начинай сначала. Выше почитай. В двух словах: совершенно разумно выделить для роли юзера набор «корпоративно одобренных» программ, необходимых ему для работы и гарантировать то, что юзер не разведет у себя зоопарк и не будет заниматься фигней в рабочее время.

Ты ж понимаешь, что довольно утомительно - объяснять очевидные вещи? Типа «а зачем на руках мизинцы». Нужны, пользуюсь, нравится.

В двух словах: совершенно разумно выделить для роли юзера набор «корпоративно одобренных» программ, необходимых ему для работы и гарантировать то, что юзер не разведет у себя зоопарк и не будет заниматься фигней в рабочее время.

Разве выше не описано, что это можно легко обойти?

Через права ФС можно рулить и в венде, но неудобно же.

В винде, наверное, неудобно через GP?

Большое кол-во приведенных тут применений GP, решается штатными средствами линукс, а применение этих штатных средств централизовано в масштабах предприятия осуществляется посредством cfengine и ему подобных средств.

Что касается шар, а самое главное здесь, это совместный доступ к документам и грамотное распределение прав, то использование smb и nfs одинаково не верное решение == костыли. Для совместного доступа к документам надо исп. специализированные решения.

Все остальные шары — это, по сути, файлопомойки, где ACL особенно и не нужны.

Выше описан случай обхода плохо сконфигурированных политик безопасности.

Вот у нас на виндо-шары запрещено через GP, класть медиафайлы (mp3,avi,...), зато переименовав их в file.mp3.dat можно. Вот такое оно ...

Да вот это самое, чувак.

Покажи мне видео, как ты не можешь залогиниться с доменной учеткой, пароль от которой закэширован в sam, при отсутствии подключения к сети. И заодно расскажи, как в таком случае МС решает проблему с мобильными клиентами.

Большое кол-во приведенных тут применений GP, решается штатными средствами линукс,

Большую часть существующего софта можно переписать на языке С. Понимаешь, к чему я, да? Хватит уже носиться со своим куцым chown'ом.

а применение этих штатных средств централизовано в масштабах предприятия осуществляется посредством cfengine и ему подобных средств.

Здесь регулярно задают вопрос о создании управляемых сетей предприятия на линуксовых решениях, но в таких темах, как правило, царит черная пустота и свищет ветер. Все осторожно поминают 389 DS и Novell DS, да и тех никто никогда не видел. Ну, может какой Calculate DS или что там еще. А как придешь в толксы, так всегда оказывается что в никсах полно «подобных средств» и они сплошь Готовы Для.

Для совместного доступа к документам надо исп. специализированные решения.

Совершенно верно. Но на данный момент вендовые костыли богаче никсовых.

А вприсядку тебе не сплясать?

Ты не дал мне ответа, а посыпал маркетинговой херней и вспомнил о лоровской школоте.

Слив защитан

Чувак, а ты решил, что твою пургу про «юзер залогинится с выдернутым патчкордом и таким образом обойдет политики OU» кто-то будет всерьез опровергать?

Сходи покури матчасть, гуру chmod'а.

Ты не дал мне ответа

На какой вопрос?
Что _ты_ не дал _мне_ ответа на вопрос о возможностях ACL в никсовых ФС - это я помню. А вот о чем ты меня спрашивал и не получил ответа - не вижу. Если ты считаешь за вопрос своё фразу о неудобстве руления правами ФС через GP, то я просто решил не заострять на этом внимание - ну написал человек херню, ну не придираться же сразу.

Хватит уже носиться со своим куцым chown'ом.

Кто-то мешает использовать setfacl, noexec, selinux ? chmod/chown вполне адекватный инструмент. Ты просто не хочешь конструктивного диалога, пытаешься всех перекричать.

Здесь регулярно задают вопрос о создании управляемых сетей предприятия на линуксовых решениях, ...

проблема в том, что эти вопросы звучат не «управляемая сеть предприятия», а сделайте мне полнофункциональную замену АД, так чтобы все АД клиенты этого не заметили. Отсюда и тишина. Для чисто линукс сетей нет проблем.

Но на данный момент вендовые костыли богаче никсовых.

мерятся крутизной костылей, не будут, тут ты победил, твои костыли костыльнее моих.

ну написал человек херню, ну не придираться же сразу.

Я к тебе и не придираюсь.

Кстати, о правах на ФС. В линуксовых ФСах есть возможность включения/отключения наследования ACL

default ACL define the permissions a file system object inherits from its parent directory at the time of its creation.

и обхода перекрестной проверки AKA bypass traverse checking?

Насчет «обхода» я не понял

Ты просто не хочешь конструктивного диалога, пытаешься всех перекричать.

А это уже классика демагогии - обвинять оппонента в своих грехах. «Ты не ответил на мой вопрос», «ты пытаешься меня перекричать».

проблема в том, что эти вопросы звучат не «управляемая сеть предприятия»

Проблема в том, что люди поюзали GPO и поняли, что это круто. И они хотят GPO. Каталоги сами по себе это хорошо, но всунутые в каталог наборы правил поведения клиентов, с наследованием и объединениями - это кайф в чистом виде.

Кто-то мешает использовать setfacl, noexec, selinux ? chmod/chown вполне адекватный инструмент.

ОМГ. Да пользуйся ты этим набором отверток, ну подумаешь, что время реакции на запрос изменения конфигурации у тебя будет составлять день там, где у вендузятника оно составляет десять минут.
И прекрати, ради всего святого, совать мне утилиты, работающие на конечной машине там, где я прошу софт, организующий работу этих утилит на всех машинах сети в удобном для админа виде. Тут до тебя было пара таких же, я уже подустал.

тут ты победил, твои костыли костыльнее моих.
Я к тебе и не придираюсь.

Вау, какое незаурядное остроумие. Ты уж определись, ты претендуешь на вменяемость или корчишь тут полоумного васю из седьмого Б, для которого цель любого разговора это победное верещание про слив.

Ты вообще смотришь кто тебе что пишет? Я слово «слив» не употреблял.

Ты подтвердил мои опасения по поводу твоей вменяемости и профессиональной глухоты.

Можешь принять таблетку я тебя не буду беспокоить.

Обосновать тебе полезность разруливания разрешений на запуск установленного софта по группам пользователей в ынтерпрайзе? Ну ты даешь. Возьму вырожденную ситуацию: есть филиал корпорации, при нём магазин, в магазине один комп и три сменяющих друг друга сотрудника. Один из сотрудников главнее двух других, на основании чего он лазит в банк-клиенты и имеет право трепаться по скайпу, а остальные такого права не имеют, потому что трындят с бабами и работу не работают. Вуаля.

Гораздо проще и на порядки надёжнее в данном случае просто не давать этим двум пользователям прав на чтение директорий с клиент-банками и скайпом.

Запрещение запуска приложений политиками AD обходится элементарно, и в этот факт вендоадминов тыкают носом почти в каждой местной теме, где упоминается AD =). Запрет на подключение флешек - туда же. Вообще, AD никак не подходит для обеспечения информационной безопасности...

Да, я очень прошу, чтобы ты показал мне, как ты не можешь залогиниться в домен без сети, и как после ее возвращения у тебя подтягиваются политики. Я говорю, основываясь на теоретическиех знаниях и реальном опыте. Ты пока не привел ни единого доказательства своих слов, и все твои доводы сводятся к «AD - это круто, и ничего другого просто не существует».

default ACL define the permissions a file system object inherits from its parent directory at the time of its creation.

О, это именн то, о чем я всегда хотел знать, но ленился гуглить.

Насчет «обхода» я не понял

Да хрен с ним, это я до кучи спросил. Это не свойство самой FS.

меня интересует расстановка прав. в вянде это делается мышой, галками и списком. очень удобно, но таки да, может быть не очень гибко. в лялихе же это делается через задницу, выше вон один деятель советует get/setfacl

Справедливости ради стоит сказать, что в венде система прав на файлы таки гибче, хотя это и даёт кучу интересных возможностей выстрелить себе в ногу. Но интерфейс к ней именно неудобный. Ради интереса попробуй пораздавать права мышкой на пару сотен разных директорий.

Чувак, ты может уже осознаешь, что я не собираюсь здесь организовывать филиал винфака с затяжными видеокурсами только ради сомнительного счастья потом написать «А Я ВЕДЬ ГОВОРИЛ!»

Да, AD - это круто.

Что-то другое существует? Ок, напиши, что именно. Про chmod/chown/setfacl спасибо, хватит на сегодня лулзов. Пока что от тебя я вижу аргументацию «в винде вот это всё сделано коряво, потому что мне вендузятники не хотят объяснять, как оно работает». Ок, пусть коряво - покажи, где сделано лучше. И объясни, как оно там работает и что может.

все со списками, поиском и подстановой, права на файл можно задавать _с любой_ машины стандартыми средствами вянды.

Ты не поверишь, но даже это работает. Именно так: самба на сервере, венда на клиентах -> можно венды в стандартном диалоге раздавать права на файлы в самба-шаре.

Вендоадминов тыкают носом в их криворучие и неспособность продумать политики безопасности, но не в ущербность реализации применения AD'шных настроек самих по себе.

Да и то, тыканье, насколько я вижу, сводится к тому что «а оно не работает! а я вот знаю, что оно не работает! а ты мне докажи, что оно работает! а я видел, как оно не работало! а у нашего админа оно не работало!»

Ну то есть офигеть просто, какой профессионализм. Я и говорю - есть что-то лучше? Откройте уже секрет, не томите, интересно же.

Я только в этом треде уже два раза написал про то, как оно сделано у нас для линуксовых клиентов.

Справедливости ради стоит сказать, что в венде система прав на файлы таки гибче, хотя это и даёт кучу интересных возможностей выстрелить себе в ногу.

Ну вот, вменяемый человек ITT.

Но интерфейс к ней именно неудобный

Вендоадмины могут жить годами и не подозревать, что для смены fs acl существует cli. Если человек годами жрет кактус и счастлив при этом, значит, этот кактус неплохо выбрит и недурен на вкус.

=)

Ну то есть офигеть просто, какой профессионализм. Я и говорю - есть что-то лучше? Откройте уже секрет, не томите, интересно же.

Лучше?.. Апельсины! Они гораздо лучше AD - их можно есть и получать от этого удовольствие!

Справедливости ради стоит сказать, что в венде система прав на файлы таки гибче, хотя это и даёт кучу интересных возможностей выстрелить себе в ногу.

Ну вот, вменяемый человек ITT.

Тут можно уточнить: Windows/NTFS ACL гибче, чем POSIX ACL. Есть ещё NFSv4 ACL, которые по возможностям такие же (+/-), как Windows/NTFS ACL.

Увидел буквы CMS и CFE, беглый гуглёж не показал ничего внятного, чтобы было по теме. Ткни носом, что ли.
Ну а про 389 и Novell вволю потрындеть в техразделе - моя давняя мечта, но как-то не особо или кто-то владеет, либо в техразделах все вдруг становятся сильно стеснительными. И я не совсем понял, _как_именно_ у вас сделано для линуксовых клиентов.

Да, и еще я нашел вот это:

А если хочется полноценных групповых политик, то сначала нужно запилить поддержку системных конфигурялок вроде dconf'а (с бэкендами под гноморее^W xml, кдешные плейнтекстовые конфиги, етц.) в десктопном софте, и уже их дергать через CMS.

Вам что-то нужно? Возьмите и напишите! (с)

Я и говорю - вменяемый человек.

Кто-то мешает использовать setfacl, noexec, selinux ?

зачем надо мешать тому, что и так плохо работает?

к примеру: nfs + facl --- работает отвратительно. я пробовал, я знаю. есть конечно вариант что у меня лично кривые руки, но и интернет со мной в целом согласен. главная претензия: права слетают. в какой именно момент не скажу, но вот как-то нет нет, да бац и человека не пускает. или не видит. или еще фигня какая. т.е. не работает. и это не считая того, что для рулением прав надо как минимум спец.ПО типа ssh клиента на cервант и спец.знаний.

твои костыли костыльнее моих.

его костыли работают и работают достаточно стабильно, в отличии от.

NFS не то, SSHFS то.

вопросы звучат не «управляемая сеть предприятия»

прекрасно, у меня есть вопрос: как мне организовать управляемую сеть предприятия?

ну и как обычно: винда, линь, группы, пользователи, шары с раздачей прав, почта, LDAP и одно единое место, где это все конфигурится.

свободное ПО приветствуется.

как?

AD никак не подходит для обеспечения информационной безопасности.

ну так кто лучше-то?

ftp-файлопомойку организовать; сделать что-то вроде wiki; поднять VCS и т.д., и т.п.

Ради интереса попробуй пораздавать права мышкой на пару сотен разных директорий.

именно это я и имел ввиду, написав «таки да, может быть не очень гибко». вообще надо бы покурить на эту тему тот же powershell, я думаю он поможет. но я не пробовал.