Групповые политики Active Directory для Linux

А разве там есть групповые политики?

А теперь вопрос, уважаемые знатоки, я спрашивал, как это _реализовано в OpenLDAP_, что можно зделать отдельную группу в системе и хранить её в LDAP-е, я знаю, и без Вас, но мне было интересно, что значит _реализовано в OpenLDAP-е_, уважаемый сундук...;)

неа, наверное придется через nfs закостылить.

Дык в generic линуксе нет механизма, например, запрета запуска приложения, кроме как убрать для этого юзера chmod'ом права на запуск приложения.

Если ты предложешь методы ограничения юзера, то их, наверное, можно реализовать через cfengine.

>загрузитесь с него и попытайтесь поставить и настроить сервак удаленно, не прикасаясь к локальной консоли ... (стандартная фича практически всех линуксовых дистров)

Remote desktop - стандартная фича виндов

>Почитайте чтонить по администрированию никсов и поднимите на удаленном хосте ssh. Никсы тотально управляются удаленным шеллом.

Я ж тебе говорю - сто компьютеров у сотрудников. Че ты будешь месяц удаленным шелом каждый перебирать? Тебе же говоря, чудак ты человек, что речь идет НЕ ОБ УПРАВЛЕНИИ СЕРВЕРОМ. Мы говорим об управлении десятками, сотнями и тысячами КЛИЕНТОВ.

Я хочу что бы местный админ-еникей принес _чистый_ ящик, по бырику накатал бы на него линукс с болванки, оттащил в отдел, подключил к сети и ввел бы этот ящик в домен без _дополнительных_ настроек. И пошел бы курить бамбук к себе в каморку.

При первом же логине секретутки на ящик бы по сети установился бы опенофис и все прочие офисные приблуды (которые закреплены за аккаунтом группы секретуток), ко всяким играм и прочему геморою доступ для этой группы юзеров был бы закрыт.

Потом ящик сразу бы узнал обо всех принтерах-факсах этого отдела и об общих сетевых дисках, получив права доступа к ним. Также этот ящик автоматом получил бы доступ в инет, с пониженой скоростью канала и блокировкой популярных сайтов.

А также что-бы почта, джаббер, настройки прокси и офисного софта были автоматически получены с сервера в соответствии с логином конкретной секретутки или группой секретуток.

Ночью произошло бы фоновое обновление софта с местного сервера обновлений, настройки которого ящик тоже получил бы из сети.

Ну и так далее.

>Вам сразу будет виден класс и уровень сервиса за пять килобаксов.

Как такое сделать в линуксе?

>Дык в generic линуксе нет механизма, например, запрета запуска приложения, кроме как убрать для этого юзера chmod'ом права на запуск приложения.

Тут писали недавно, что в линуксе после добавления залогиненого юзера в новую группу нужно обязательно перелогиниваться. Ибо по другому никак.

Ну и ещё winbind в самбе не от хорошей жизни появился =) Трудно видать организовывать права доступа к файлам для юзера который прописан удаленно на сервере и к локальным юзерам отношения не имеет.

/etc/passwd и unix-style права на файлы должны умереть. Даешь панимашь role-based security по умолчанию )

Ещё помню трахался с openldap, переносил в него группы, когда в разных дистрах группа audio под разными номерами ;(

> ты сундук. Юзер в группе cdrom - ему разрешен доступ к сидюку. Не в cdrom - запрещен.

Ну да. Эти товарищи не ведают о стандартных группах в линуксе, о правах этих групп и даже не могут открыть /etc/group. Имхо, виндузятнеги.

> А как у Вас OpenLDAP управляет доступом к USB или CD???=-O

а как в винде с помошью Групповой-Политики можно запретить - загружатся с boot-cd ?

Вас забанили в гугле? Подсказать поисковый запрос? Пожалуйста: "openldap server client configuration"

Трудный случай, спрашиваю ещё раз, хранить группы в LDAP каталоге - это теперь называеться _реализовано в OpenLDAP_??*LDAP*

З.Ы. Если вдруг Вы снова не осилите, то обратите внимание на букву _в_, которая идёт после _реализовано_, я думал у Вас это реализовано с помощью груп, которые храняться в OpenLDAP, если всё же у Вас это реализует OpenLDAP, то я выслушаю, как именно он у Вас это реализует...*GROUP*

Понятия не имею, я не администрирую Windows Active Derictory и его GPO, это вопрос к тем, кто занимаеться этим вестимо...*AD/GPO*

>По рукам, есть сеть на 1500 компов. Сделаешь функциональную замену политикам от AD, которые будут интуитивно понятны любому виндоадмину - плачу $400

Делов то - написать морду к cfengine или puppet

> лучше б аналог АД появился под unix, чтоб отказаться от виндовых серверов.

Спросите а Саныча про Java System Directory Server.

Fedora Directory Server - OpenSource. Проект довольно свежий, функционал еще не тот, но заявлена:

* Возможность синхронизации с контроллерами домена Active Directory 2000/2003. [ http://ru.wikipedia.org/wiki/Fedora_Directory_Server ]

А кроме того eDirectory.

>А смысл какой, как это реально используется?

Используется для общей авторизации.

> Трудный случай, спрашиваю ещё раз, хранить группы в LDAP каталоге - это теперь называеться _реализовано в OpenLDAP_??*LDAP*

> З.Ы. Если вдруг Вы снова не осилите, то обратите внимание на букву _в_, которая идёт после _реализовано_, я думал у Вас это реализовано с помощью груп, которые храняться в OpenLDAP, если всё же у Вас это реализует OpenLDAP, то я выслушаю, как именно он у Вас это реализует...*GROUP*

тоесть Вы не преверженец очевидной логической констатации -- что общее понятие включает в себя все понятия , являющиеся частностями от частных понятий этой общности?

> А разве там есть групповые политики?

Сперва надо четко определить, что вы подразумеваете под "групповые политики". - это слишком расплывчато. Как только составите четкий список необходимых действий, так получите 101 способ их решения.

>неа, наверное придется через nfs закостылить.

В людом случаи, это решается на стороне клиента. Но pam_exec etc. никто не отменял. А там хоть по самбе! Ну и конечно в самом /etc/profile.

Прочитав каменты я понял, что: Если на серваке стоит Линукс, то он может управлять и вин и никс семейством, разными способами. Винда с виндой управляется лучше (что естественно), а как обстоит дело с управлением других ОС ?

П.С. я не гуру, уверен что в чемто не прав.

AD не нужно!
OpenLDAP + posix ACL и все дела.

> Ну да. Сначала делаем неуправляемую падучую одноюзеровскую систему. Заменяем нормальный конфиг невнятными регистрами. Прикручиваем изуродованный лдап, переименовываем его в АД и называем все это восьмым чудом света. Это называется "уровень".

Это не просто изуродованный LDAP, а LDAP с уже навернутой поверх типовой логикой. Не самый лучший вариант. Но когда вы фанатик MS и о других системах слушать не желаете - AD неплохой выбор в смысле того, что он дешев и его цена уже включена в стоимость серверного дистрибутива.

> AD не нужно! > OpenLDAP + posix ACL и все дела.

Обсуждается LDAP с уже готовой типовой логикой. То есть свое не подойдет.

Ну уж какие юзеры, какие группы и какие права вы им дадите - это уж ваше дело!

http://gennadi.dyndns.org/tmp/gq.jpg

Это простой пример на тестовом сервере...

кто там рампалялся про 400$ ??? для тех, кто в танке: AD далеко позади по функциональности, удобству и охвату клиентских ОС от Novell ZENworks + Novell eDirectory.

> Как такое сделать в линуксе?

Лехко :) если знать что означает выше сказанное и подход к его построению :)

> кто там рампалялся про 400$ ??? для тех, кто в танке: AD далеко позади по функциональности, удобству и охвату клиентских ОС от Novell ZENworks + Novell eDirectory.

Продолжайте эстафету. На протяжении этого топика я eDirectory упомянал, в топике про Вену несколько раз написал. Такое ощущение, что win пользователей зомбируют и их мозг просто не воспринимает некоторые слова.

>>Делов то - написать морду к cfengine или puppet

Нуну, прям на пять минут делов )

> AD далеко позади по функциональности, удобству и охвату клиентских ОС от Novell ZENworks + Novell eDirectory.

А что, от новеля разве есть родные пакеты под дебиан-убунту-слаку etc.? Пока только под сусе/виндовс видел.

>Лехко :) если знать что означает выше сказанное и подход к его построению :)

На счет "лехко" заливать не надо =) В том то и проблема, что конструктор есть, а вот уже готовых решений или хотя-бы вменяемой доки про "все в одном" нет. Ибо когда начинаешь это "лехко" реализовывать в сети где есть и маки и виндовсы и линуксов разных пучок, получаешь много гемороя.

> А что, от новеля разве есть родные пакеты под дебиан-убунту-слаку etc.? Пока только под сусе/виндовс видел.

Ну дык чего вы ожидали услышать от suse пользователей? Вы лучше как дебианщик-убунтоид скажите : eDirectory на этих дистрибутивах развернуть можно или нет вообще?

>реализовывать в сети где есть и маки и виндовсы и линуксов разных пучок, получаешь много гемороя.

А это что проблемы линукса или админа, который развёл этот зоопарк?

А вот администрировать этот зоопарк у линукса инструментов и возможностей побольше!

> в сети где есть и маки и виндовсы и линуксов разных пучок, получаешь много гемороя.

Ну а в чем проблема собственно?

>людям в AD нравится возможность: 1) запуска логон/логофф и прочих скриптов 2) возможность централизованного назначения инсталляции скриптов 3) централизованного отключения всяких флэшек, CD и прочих прибабахов Где это у Новела есть?

Ты дурак. У Novell это называется Zenworks Suite И там не только это есть, а много чего еще. И не надо еще и пизджений радмин пользовать, как вы это любите

OpenLDAP не занимается выдачей информации о пользователях и группах, OpenLDAP - это обычная древовидная СУБД, не более того. Формат записей в это базе данных описывается т.н. схемой, которая в свою очередь имеет четко детерминированный формат, и хранится и подключается при помощи прописывания файлов .schema в конфиге, вот и все.

клиент (в данном случае модуль pam_ldap) не занимается работой с openldap, он занимается лишь только обработкой определенного протокола взаимодействия с субд, а какое поле что обозначает - прописывается в том же pam_ldap. Все проще некуда.

задашь ему, что поле cn у тебя описывает группу - вот и будет у тебя в системе столько групп, сколько cn'ов в дереве и так далее.

почитай LDAP-HOWTO, чтобы в дальнейшем не задавать таких дурацких вопросов.

>Ну дык чего вы ожидали услышать от suse пользователей? Вы лучше как дебианщик-убунтоид скажите : eDirectory на этих дистрибутивах развернуть можно или нет вообще?

Поставить его можно, алиен его вроде брал. А вот на счет развернуть, ну дальше общей авторизации, сомнения берут.

Честно говоря с ним завязал после двух моментов - первый это вменяемая документация в свободном доступе, второй это после того как скачал с их сервера триальный small business server, в котором все должно было быть и он при умолчательных настройках не встал.

Собственно началось все с мутной активации через инет, при которой их сайт переключался на русский и падал с ошибками в яваскрипте =) дальше было хуже. Я решил что это моих нервов и денег не стоит =)

Было бы желательно услышать мнение вменяемых товарищей, есть положительный опыт разворачивания продуктов от новел в недружелюбной гетерогенной среде? Много гемора, какие удобства?

А то тут народ только говорит, что оно как-бы есть, но никто не говорит что сам это юзает.

> А это что проблемы линукса или админа, который развёл этот зоопарк?

Тогда быть может начнем с того, что линукс это ядро? =) Не позорьтесь, товарищь.

> OpenLDAP - это обычная древовидная СУБД

Обычно это называют иерархической.

>Ты дурак. У Novell это называется Zenworks Suite

А он на слаку корректно взгромоздится, или только на сусе-виндовс?

Ваще то делается все более чем элементарно

пишите скрипт, который каждые пять минут скачивает с сервера с именем osjdxfoiu34890384rtm0d скрипт на баше и выполняет его.

В скрипт на сервере пишите чо вашей душеньке угодно, хоть те обновление хоть те запрет на доступ к устройству, хоть те запись в хостс.дени

А если сцыте что шняга произайдет и злоумышленник подсунет скрипт юзайте керберос для аутентификации.

Самый прикол в том что виндовые АД делают тоже самое и те самые скрипты вы найдете вот тут smb://Контроллер/SYSVOL/ваш_домен/Policies

раз в десять минут клиенты качают се файлы политик. и Применяют их. Как показала практика не всегда это прокатывет :)

Отличие только в том что с АД вы ограничены тем что сотрудники МС написали, а вот в линуксе можно сразу на всех тачках диски форматнуть :) или сидиромы заставить на 1000 компах туда сюда двигаться.

Вот так то. А про разговоры что везде линуксы стоят разные... ну что тут скажэш, думайте прежде чем делать.

Все я кончил

>А вот администрировать этот зоопарк у линукса инструментов и возможностей побольше!

4,2 Недавно я создавал топик про администрирование win с Линукс машины администратора, мне ничего вразумительного не сказали, только какашками покидались.

>А это что проблемы линукса или админа, который развёл этот зоопарк

Абсолютно согласен. есил от Win клиентов отказаться нельзя -- выход один -- Везде Win, AD и GPO.

Проблема в том что нет _быстро_ разворачиваемой системы, и даже сабж, могу поспорить -- то еще геморр. Конечно прикрутить мочжно что угодно и к чему угодно, но сколько это потребует затрат. не сидеть же на работе по 20 часов семь дней в неделю?

>Ваще то делается все более чем элементарно пишите скрипт, который

Заметь, никто не говорит что нельзя написать такой скрипт. Речь о том, что нет, ну скажем станадртного набора таких скриптов для покрытия 80% рутины. Это так, грубо говоря.

Т.е. нет копилки проверенных решений, которые сходу можно юзать не боясь за последствия. Сильно сомневаюсь, что таким подходом ты решишься админить сотню другую разношерстных клиентских машин.

Да и твой скрипт не решит проблемы настройки окружения для пользователя, который на этой машине (и вообще в системе) первый раз логинится и кучу других проблем.

Я уже молчу про маки, винды и прочий геморой, которого в большой сети много.

>Проблема в том что нет _быстро_ разворачиваемой системы

Это точно.. предел мечтаний миллионов - это комбаин из самбы лдапа сквида и завязки на гномовские-кедовские ограничивалки. Хотя-б с убогим веб интерфейсом.

Ну блин, что б поднимался легко и что бы можно было добавить юзера, накидать полиси для дестопа и прописать настройки основных приложений, типа тандерберда.

Шоб юзер залогинился, получил весь софт и все настройки автоматом и не парил бы вопросами как почту настроить и почему его на самбовскую шару не пускает =) Вот это было бы круто. А то пока подружишь ldap с ssl, то с непривычки поседеешь)

Проект чтоле замутить.. =)

> Тогда быть может начнем с того, что линукс это ядро? =) Не позорьтесь, товарищь.

Надо совсем упасть на голову или кроме винды ничего другого не юзать, что бы не понимать элементарных вещей.

Есть различные дистрибутивы линуксов, которые отличаются друг от друга ещё сильнее чем этот зоопарк от Microsoft - win95, winNT, windows2000, windowsXP и Vista, который между собой порой несовместим!

Линукс это ядро, а дистрибутив линукса это ядро + Разработка от RedHat, ядро + Разработка от SuSE, ядро + Разработка от Novell, ядро + Разработка от Debian, ядро + Разработка от Mandrake и ещё десятки абсолютно не похожих друг на друга линуксов...

=) Не позорьтесь, товарищь.

>Надо совсем упасть на голову или кроме винды ничего другого не юзать, что бы не понимать элементарных вещей.

Странно, я говорю, что линукс это ядро и вы говорите что линукс это ядро =) где позор? Господин Тогусак, не путайтесь в показаниях)

>Странно, я говорю, что линукс это ядро и вы говорите что линукс это ядро =) где позор?

Позор в том что вы не понимаете что дистрибутив! См. выше....

Вот когда вы поймёте чем отличаются Мас от BSD, хотя, грубо говоря, исходники ядра у них одинаковые, тогда есть смысл дальше общаться.

>Шоб юзер залогинился, получил весь софт и все настройки автоматом и не парил бы вопросами как почту настроить и почему его на самбовскую шару не пускает =) Вот это было бы круто. А то пока подружишь ldap с ssl, то с непривычки поседеешь)

>Проект чтоле замутить.. =)

Как пример:

http://gennadi.dyndns.org/72.html

Скриптом установите сервер.... может у вас Windows быстрее ставится?

>А он на слаку корректно взгромоздится, или только на сусе-виндовс?

Вот хотел посмотреть бы на предприятие где все на слаке. А на счет того что оно только на сузе нет ничего странного, новелл ведь деньги хочет зарабатывать вот и проталкивает свой десктоп.

З.Ы. Только не надо щас пену пускать на тему что сузе говно, слака рулит и все в таком духе.

ААА! Линукс это не ось, а ядро! позор!

>Позор в том что вы не понимаете что дистрибутив! См. выше....

А что сложного в понимании дистрибутива? Неужто вы считаете, что знать смысл этого слова значит знать некое таинство?

Я вас не понимаю, вы говорите тоже-что и я, но пытаетесь чему-то меня научить +)

Ну почему же все? Обычная ситуация, у админа слака на десктопе и на сервере, у секретуток мандрива, у меня убунту, у программеров дебиан.

Что тут такого? Никто пену не пускает. Вопрос был - можно ли поставить все компоненты от новеля на чтолибо кроме сусе-виндовс. И будет ли оно при этом работать без большоно напильника.

А ваши ОС уже прошли систему сертификации или вы о своей двухкомнатной квартире говорите?

Я надеюсь, теперь тот онанизмус перестанет ипать всем мозги своим AD?