LINUX.ORG.RU

Замена Active Directory: Часть 1. Службы каталогов

 directory service,


0

0

Служба каталогов (Directory Service) – это программный комплекс, позволяющий хранить в одном месте информацию о сетевых ресурсах (общие каталоги, серверы печати, принтеры, пользователи и т.д.) и обеспечивающий централизованное управление ими. В цикле, который открывает эта статья, речь в основном пойдет о преодолении подобных трудностей, поскольку настройка служб каталогов (под Windows и Linux) сама по себе проблем администраторам не доставляет. Притом писать мы будем не только и не столько о замене одной службы каталогов на другую, сколько об их взаимодействии между собой. Для начала приведем небольшой обзор открытых программных продуктов.

>>> Подробности

★★★

Проверено: maxcom ()

По ссылке не ходил, но статья отличная, как и всегда у бизнесмашин.

gkrellm
()
Ответ на: комментарий от Cargo

На самом деле одной католожной службы мало. Нужен сервис генерации, управления и отзыва сертификатов, что-то вроде OpenSSL, но с уменеем деплоить сертификаты станциям и серверам, и службы умеющие деплоить пакеты (что-то вроде новеловской ZENWork). В общем нужен твердый и открытый серверный стек.

k0valenk0_igor ★★★
()
Ответ на: комментарий от valich

> Чистого невендового ентерпрайза в Тамбове, к сожалению, пока быть не может!
Ню-ню... Если хоть одна машинка в сетке будет с окнами, это уже гетерогенный, хоть ты тресни. А ентерпрайз из одного локалхоста в спальне никому не интересен.

Lumi ★★★★★
()
Ответ на: комментарий от Sanitar

>>Надо было готовить в древние времена. Сейчас готовят только файл

>>ответов (если надо). К слову тот же 7-zip уже в msi распространяется.

>>Инстал на все рабочки домена в 4 клика.

>Класс, разом дистр с трояном залить на всю сеть...

бред

zooooo
()
Ответ на: комментарий от Sanitar

>>Надо было готовить в древние времена. Сейчас готовят только файл

>>ответов (если надо). К слову тот же 7-zip уже в msi распространяется.

>>Инстал на все рабочки домена в 4 клика.

>Класс, разом дистр с трояном залить на всю сеть...

бред

zooooo
()
Ответ на: комментарий от argin

>Нет, меня ты не обижал. Просто ты большим апломбом начал разговор о вещах, которые явно слабо представлял.

Так я и сам знаю, что слабо представляю администрирование большого парка linux, поэтому и интересуюсь этим вопросом.

>>вопроc: что плохого в "директори сервисах", централизоном управлении?

само по себе это не плохо. Но важно как это реализовано, каковы альтернативы. Даже если говорить про АД, то самба-4 скоро доползёт уже до бета версий.

>>Cерверы и рабочки+пользуны, разница есть/чувствуется?

>Линукс десктопы имеют свои специфику, но проблемы с ними совсем другие, не те, о которых ты говоришь.

Охотно верю. Думаю что виновата моя психология виндоадмина и я ищу похожие инструменты. В частности есть у меня 3 линукс десктопа (именно десктопа, пользователи беруться из AD). Ставил тот же Evolution на 3 одновременно скриптом через ssh(авторизация через сертификаты), но это не информативно. Хотелось бы: загнал машину в домен, положил ее в OU и на нее проинсталился специфичный софт для этого OU. Разработать такой функционал в одиночку я не потяну. Конечно, можно заранее собрать образ, но почему то мне кажется, что это не совсем верное решение.

zooooo
()
Ответ на: комментарий от argin

> Явно видно, что ты никогда не занимался администрированием под линукс.

Я никогда не занимался администрированием под Linux, святой отец, простите мне моё прегрешение.

> Менять пароли сразу на нескольких сотнях и тысячах писюков простыми усилиями в *никсах умели раньше чем в винде.

Расскажи, как.

Aceler ★★★★★
()
Ответ на: комментарий от zooooo

>Конечно, можно заранее собрать образ, но почему то мне кажется, что это не совсем верное решение.

тебе нужно использовать различные пакетные менеджеры для инсталляций программ - если у тебя десктопы rhel или fedora то yum,если дебиан или убунту то apt-get, если генту то emerge или paludis, если это Mandriva то urpmi .

Познакомься с тем, что такое репозиторий. Полной интеграции линукс машин с win окружением не будет, хотя я не знаком с возможностями новеловской службы каталога.

для автоматических установок систем существуют специальные возможности во всех дистрибутивах

samba,ldap,nis,nfs,bash,apt-get,ssh... Этого набора хватает в большинстве случаев

argin ★★★★★
()
Ответ на: комментарий от Aceler

>> Явно видно, что ты никогда не занимался администрированием под линукс.

>Я никогда не занимался администрированием под Linux, святой отец, простите мне моё прегрешение.

~ЫЫЫ.Где ты видел святых ИТ-в ?

из всех ИТ-в я знаю только двух святых, хотя слакварщики говорят, что один из них - бог.

>> Менять пароли сразу на нескольких сотнях и тысячах писюков простыми усилиями в *никсах умели раньше чем в винде.

>Расскажи, как.

Да брось - тебе это явно не нужно, если ты не админ. Но если что, читай про nis или ldap

argin ★★★★★
()
Ответ на: комментарий от Legioner

> Настроить авторизацию через ldap на одном централизованном сервере видимо :)

Ага, вот у нас и настроили год назад. Только вот _решения_ я здесь не вижу, здесь есть только технологии. И это очень хреново.

Aceler ★★★★★
()
Ответ на: комментарий от argin

> Где ты видел святых ИТ-в ?

А где ты видел, чтобы я писал, что я админ?

> Да брось - тебе это явно не нужно, если ты не админ.

А это нужно только админам? Зайди в профиль, посмотри кем я работаю, и узнаешь, зачем мне это нужно.

> Но если что, читай про nis или ldap

LDAP разворачивали, так и работаем.

Aceler ★★★★★
()
Ответ на: комментарий от argin

>Познакомься с тем, что такое репозиторий.

Ну не совсем мы уж чайник и кэш свой имеется (apt-cacher).

>для автоматических установок систем существуют специальные возможности во всех дистрибутивах

>samba,ldap,nis,nfs,bash,apt-get,ssh... Этого набора хватает в большинстве случаев

я согласен, что возможностей много, более и гибче чем в win2000-2003. Я хочу сказать, что не знаю готового инструмента. А базовые средства конечно хороши и юзать их я умею, но мне бы хотелось готовую надстройку, а не тратить год на её (надстройку) написание.

Вообщем я понял, требуется составить список административных задач скажем за прошлый год, поднять в песочнице виртуальную сеть и попробовать их выполнить максимально эффективно, тогда можно будет поговорить о реальных задачах.

zooooo
()

Заголовок на рубль, содержимое на копейку. И то не каждый дал бы.

af5 ★★★★★
()
Ответ на: комментарий от Aceler

>Набор есть, продукта нет.

уникс вэй, мать его :)

af5 ★★★★★
()
Ответ на: комментарий от Aceler

>> Где ты видел святых ИТ-в ?

>А где ты видел, чтобы я писал, что я админ?

Я ведь просто констатировал факт, который имел прямое отношение к теме беседы, и этим фактом никто из нас не спорит.

>> Но если что, читай про nis или ldap

>LDAP разворачивали, так и работаем.

Я был уверен, что ни открою для тебя Америки, ведь этим решениям не один год.

Но вполне возможно в качестве бакенда для многих служб использовать *sql, но удачной интеграции с pam-м придётся добиваться самостоятельно.

argin ★★★★★
()
Ответ на: комментарий от Aceler

>> samba,ldap,nis,nfs,bash,apt-get,ssh... Этого набора хватает в большинстве случаев

>Набор есть, продукта нет.

продукт есть, и не один - samba, eDirectory, rhel-й каталог.

Но это станет актуальным только когда появятся массовые линукс десктопы, и сейчас это экзотика. Даже самба разрабатывается для управления виндовыми десктопами. А у серверов актуальны другие задачи - мониторинга, авторизации, конфигурации, инсталляции, установки софта. И они вполне решаются имеющимся набором софта с простыми издержками

argin ★★★★★
()
Ответ на: комментарий от argin

> Я был уверен, что ни открою для тебя Америки, ведь этим решениям не один год.

Нет, меня интересовали иные решения, ведь разговор зашёл в русле «LDAP не нужен, потому что есть набор технологий XYZ».

Aceler ★★★★★
()
Ответ на: комментарий от argin

> Но это станет актуальным только когда появятся массовые линукс десктопы, и сейчас это экзотика.

Напротив. Массовые линукс десктопы появятся вместе с подобными системами.

Aceler ★★★★★
()
Ответ на: комментарий от argin

О кстати, я тут выяснил, чем пользуются у нас в НТК для установки ПО на десктопе. Они ставят программу на один компьютер, а потом его клонируют.

Господа, объявляю конкурс. Предложите решение лучше и я обещаю, что буду протаскивать его в школьный репозитарий. Пока закинул нашим админам OCS Inventory и Mandriva Pulse на пощупать, предложите ещё.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

>> Я был уверен, что ни открою для тебя Америки, ведь этим решениям не один год.

>Нет, меня интересовали иные решения, ведь разговор зашёл в русле «LDAP не нужен, потому что есть набор технологий XYZ».

Это говорил явно не я, лдап это самый продвинутый из возможных решений.

>> Но это станет актуальным только когда появятся массовые линукс десктопы, и сейчас это экзотика.

>Напротив. Массовые линукс десктопы появятся вместе с подобными системами.

Ты просто забываешь, что в opensource решения появляются по потребности, значит проблема должна существовать в явном виде. По видимому это слабость, но это так

argin ★★★★★
()
Ответ на: комментарий от Aceler

>О кстати, я тут выяснил, чем пользуются у нас в НТК для установки ПО на десктопе. Они ставят программу на один компьютер, а потом его клонируют.

>Господа, объявляю конкурс. Предложите решение лучше и я обещаю, что буду протаскивать его в школьный репозитарий. Пока закинул нашим админам OCS Inventory и Mandriva Pulse на пощупать, предложите ещё.

Да ты для начала скажи хотя бы минимальный набор требований, может добиться этого не так сложно ?

argin ★★★★★
()
Ответ на: комментарий от argin

> Да ты для начала скажи хотя бы минимальный набор требований, может добиться этого не так сложно ?

1. Поддержка основных школьных дистрибутивов: Mandriva, ALT Linux, НауЛинукс(считаь федорой), Инфралинукс (считать убунтой), Linux XP (считать федорой).

2. Массовая установка софта на группы машин, т.е. в сети есть несколько групп (классов), набор софта разный. Установка в том числе по расписанию, в том числе запланированная для выключенный на данный момент машин. В идеале — чтобы некоторым пользователям показывался один набор ПО, а другим — другой, на одной машине.

3. Массовая установка паролей пользователям, а также массовое удаление пользователей. Пришли ученики 1 сентября в школу — каждому логин/пароль. Причём логин транслитерируется из списка учеников (Иванов Вася — IvanovVasiliy) по ГОСТ, пароль задаётся случайным. Возможность изменить пароль ученику администратором и самим учеником.

4. Монтирование домашней папки пользователя при логине в систему с логином и паролем.

5. Доступ в интернет через кеширующий http прокси с прозрачной аутентификацией, учётом и квотами трафика. Т.е. кешировать надо только http, остальное пусть ходит как есть. В идеале бы ещё отрезать неправильный трафик, такой как P2P.

Кроссплатформенность: поддержка Windows и Linux.

Пункты 2,3 и 4 мы сейчас решаем самодельными скриптами и обвязкой для OpenLDAP. Пункт 5 решён частично путём настройки прозрачного squid.

Aceler ★★★★★
()
Ответ на: комментарий от Aceler

Да, эти требования придумали не мы, не Альты и не кто-то там ещё, эти требования были сформулированы по запросам двух десятков реально практикующих активных учителей информатики в школах.

Aceler ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.