LINUX.ORG.RU

Групповые политики Active Directory для Linux

 , ,


0

0

Компания Likewise Software (ранее называвшуюся Centeris) предлагает продукт Likewise Enterprise 4.0, который позволяет администраторам взять под свою опеку большинство систем на базе Linux, Unix и Mac OS X, наладив их аутентификацию через AD и управление с помощью тех же средств Group Policy, что обслуживают Windows-системы.

>>> Подробности

anonymous

Проверено: Shaman007 ()
Ответ на: комментарий от anonymous

> Я надеюсь, теперь тот онанизмус перестанет ипать всем мозги своим AD?

Шансов никаких.

sv75 ★★★★★
()
Ответ на: комментарий от anonymous

>Ну почему же все? Обычная ситуация, у админа слака на десктопе и на сервере, у секретуток мандрива, у меня убунту, у программеров дебиан. Что тут такого? Никто пену не пускает. Вопрос был - можно ли поставить все компоненты от новеля на чтолибо кроме сусе-виндовс. И будет ли оно при этом работать без большоно напильника.

Нет не будет, и врядли поставиться даже. Как правило новелловские продукты поддерживают их же SLE и в основном RHEL еще, некоторые даже солярку.

А лично мое мнение что такой зоопарк дистров внутри фирмы держать как минимум гон.

anonymous
()

Достаточно хороший вопрос тут поднимали, да, есть средства, которые ограничат доступ к некому объекту, а как сделать что на этой машинке есть 10 (20-30-40) пользователей, у которых разные права? Не только на файлы, тут проблем нет, но и, например, на доступ к сети?

Т.е. интересует per-user установление разрешений, которые традиционно в unix-like выставляются для конкретной машинки?

user_undefined
()
Ответ на: комментарий от user_undefined

> Не только на файлы, тут проблем нет, но и, например, на доступ к сети?

Искренне надеюсь, что Squid client не появится никогда.

sv75 ★★★★★
()
Ответ на: комментарий от gr_buza

Уважаемый, прочтите уже наконец сообщения на которые я отвечал, я прекрасно осведомлён о возможностях LDAP, спасибо за совет, но вопрос был ровно такой, какой был пост человека которому я его задавал, зачем Вы влезли в него не ясно, прим этом не прочитав судя по всему на что я отвечал...:)

ZANSWER
()
Ответ на: комментарий от sv75

> Искренне надеюсь, что Squid client не появится никогда.

Я на это тоже очень надеюсь. Но я имел в виду несколько другое - в линуксе все-таик традиционно права назначаются хосту, а не пользователю, и _простого_ способа сделать per-user permissions вместо per-host нет. Да, конечно, абсолютно все можно сделать скриптами.

Вопрос в общем-то в том, что нужен некий дефолтный набор скриптов/конфигов, которые будет гораздо проще изменить под конкретную ситуацию в сети, нежели писать все это с нуля.

user_undefined
()
Ответ на: комментарий от anonymous

Не станет и работать скорее всего не будет, а даже если будет, то технической поддержки Вы не получите, более того, eDirectory проприетарная программа, как тут любят говорить ещё, поделка...;)

ZANSWER
()
Ответ на: комментарий от ZANSWER

>А как же модное определение такого безобразия - гетерогенные сети??*NET*

Помоему вы его совсем не так трактуете. Ибо под гетерогенными сетями подразумевается наличие нескольких платформ.

anonymous
()
Ответ на: комментарий от ZANSWER

Сеть слаква-дебиан-убунта-солярис-редхат... на одном столе называется--чисто пацаны собрались письками помериться и не более того.

anonymous
()
Ответ на: комментарий от ZANSWER

>Что за чушь Вы несёте, у Mac OS X, ядро Darwin, у BSD свои, не кому не говорите больше таких глупостей...*OS*

> "отличаются Мас от BSD, хотя, ГРУБО говоря, ИСХОДНИКИ ядра у них одинаковые"

Я нигде не сказал, что ЯДРА одинаковые... Скорее неточно :(

Mac OS X, в отличие от предшественников, основана на ядре BSD. Это означает, что большинство программ, написанных для BSD, GNU/Linux и других UNIX-подобных систем, скомпилируются и будут работать на Mac OS X почти или же вовсе без дополнительных изменений в коде. Для удобной установки таких программ разработаны менеджеры пакетов, такие как Fink или MacPorts (ранее — DarwinPorts). Они подобны apt в Debian или портам во FreeBSD.

togusak
()
Ответ на: комментарий от togusak

Да что ж Вы снова такое пишете, ну не основана она на ядре BSD, у неё базовые утилиты от FreeBSD 5, а ядро у неё XNU(Mach), у них конечно с терминами проблема, запутано ужасно, но ядро у них к BSD не имеет не какого отношения, она просто POSIX совместимая, поэтому конечно будет работать софт написаный для Unix, если они не использует ядерных каких-то фишек...:)

http://ru.wikipedia.org/wiki/Mac_OS_X

ZANSWER
()
Ответ на: комментарий от user_undefined

Давайте с Вами вместе читать то, что Вы дали, а ещё смотреть картинки, не зря же их кто-то малевал: Darwin’s implementation of BSD includes much of the POSIX API, which higher-level applications can also use to implement basic application features. BSD serves as the basis for the file systems and networking facilities of Mac OS X.

_Darwin’s implementation of BSD_, означает, что используется код взятый из BSD для реализации некоторых базовых элементов, как в Windows взяли TCP/IP стек BSD-шный, но ведь никто не говорит, что ядро Windows основано на коде BSD...;)

http://upload.wikimedia.org/wikipedia/commons/thumb/f/f2/Diagram_of_Mac_OS_X_...

ZANSWER
()

MS! Где твое жало? AD! Где твоя победа?

anonymous
()
Ответ на: комментарий от mmm62

Вот странные вы... 1. Не понимаете для чего нужны службы каталогов. 2. Не интересуетесь "соседними" технологиями, пусть и проприетарными. 3. Не знаете, что бывает администрирование сетей с кол-вом хостов больше 20ти 4. Не умеете выбирать наиболее эффективное решение в рамках данного сценария... и таких "не" можно еще и еще добавлять...

Не приходилось "увязывать" сети Microsoft с Novell и Sun ? Нет? Так чтобы и авторизация была прозрачная и управление централизованное для тысячи и более хостов? Так о чём вы тут спорите, мира не повидав... О том нужен ли AD для 15 старых компов и двух ржавых сервантов? Конечно не нужен. :))

anonymous
()
Ответ на: комментарий от anonymous

>По рукам, есть сеть на 1500 компов. Сделаешь функциональную замену политикам от AD, которые будут интуитивно понятны любому виндоадмину - плачу $400

За каждый комп?

dn2010 ★★★★★
()
Ответ на: комментарий от user_undefined

>Не только на файлы, тут проблем нет, но и, например, на доступ к сети?

Разруливать доступ к сети на стороне клиента -- глупо.
Сетевые ресурсы управляются с того же центрального сервера и знают кому что предоставить.

sdio ★★★★★
()
Ответ на: комментарий от anonymous

> Сеть слаква-дебиан-убунта-солярис-редхат... на одном столе называется--чисто пацаны собрались письками помериться и не более того.

> Если у вас в сети такой разброд, то централизованое управление чем-либо, кроме логина/пароля вам не нужно :)

> А лично мое мнение что такой зоопарк дистров внутри фирмы держать как минимум гон.

Офигеть, сначала мы гордимся возможностью выбора, потом набив лоб об эту возможность заявляем - она не нужна! По вашему в линуксе все должно быть единообразно и безобразно? Не, есть конечно конторы, где жесткая принудиловка, надеюсь в моей такого не будет.

anonymous
()
Ответ на: комментарий от sdio

Тогда тебе темболее нужна директория.

anonymous
()
Ответ на: комментарий от anonymous

>лучше б аналог АД появился под unix, чтоб отказаться от виндовых серверов.

Redhat Directory Server - Отличный аналог AD и c поддержкой :) если поддержка ненужна - Fedora Directory Server

andry_mine
()
Ответ на: комментарий от andry_mine

>Redhat Directory Server - Отличный аналог AD и c поддержкой :)

Умеет ли оно сабдж и поддерживает ли Win-клиентов, можно ли интегрировать в него win-приложения, способны ли эникеи управлять этим делом после двух-трех занятий, сидя на винде и не уча никсы?

gnomino
()
Ответ на: комментарий от gnomino

>Умеет ли оно сабдж и поддерживает ли Win-клиентов, можно ли интегрировать в него win-приложения, способны ли эникеи управлять этим делом после двух-трех занятий, сидя на винде и не уча никсы?

Есть отличный браузер Firefox. Умеет-ли он запускать ActiveX компоненты, через ADO подключаться к БД, отображать как Internet Explorer корпоративные странички под IE заточенные?
Дурацкий совершенно вопрос. С какого перепуга сторонний открытый продукт должен поддерживать штаны для проприетарных клиентов Windows?
Если хочется "чтоб как в винде" то покупайте Nitrobit Group Policy.

Marvin
()
Ответ на: комментарий от user_undefined

> Достаточно хороший вопрос тут поднимали, да, есть средства, которые ограничат доступ к некому объекту, а как сделать что на этой машинке есть 10 (20-30-40) пользователей, у которых разные права? Не только на файлы, тут проблем нет, но и, например, на доступ к сети?

> Т.е. интересует per-user установление разрешений, которые традиционно в unix-like выставляются для конкретной машинки?

Это делается элементарно средствами iptables. Ключи --uid-owner --gid-owner --pid-owner --sid-owner --cmd-owner к вашим услугам.

http://iptables-tutorial.frozentux.net/iptables-tutorial.html#OWNERMATCH

mutronix ★★★★
()
Ответ на: комментарий от gnomino

>>Redhat Directory Server - Отличный аналог AD и c поддержкой :)

>Умеет ли оно сабдж и поддерживает ли Win-клиентов, можно ли интегрировать в него win-приложения, способны ли эникеи управлять этим делом после двух-трех занятий, сидя на винде и не уча никсы?

тут уже ясно ответили :) но я добавлю: Ставим Redhat Directory Server, ставим RHEL WS, доставляем приложения - все это настраиваем за 5 минут в единую сеть. А твои Win-клиенты, вместе с win-приложениями, вместе с эникеями и возможно вместе с тобой - отправляем в утиль. Как тебе такой вариант? :D

fi ★★★
()
Ответ на: комментарий от ZANSWER

>А теперь вопрос, уважаемые знатоки, я спрашивал, как это _реализовано в OpenLDAP_, что можно зделать отдельную группу в системе и хранить её в LDAP-е, я знаю, и без Вас, но мне было интересно, что значит _реализовано в OpenLDAP-е_, уважаемый сундук...;)

я тебе битый час доказываю, что сам по себе openldap тут совершенно ни при чем. Openldap является лишь одной из десятков реализаций протокола ldap на отдельно взятом сервере. AD работает по абсолютно такой же схеме, отличаясь лишь наличием аутентификации через kerberos, вот и все. То, что вышеупомянутый анонимус упомянул опенлдап - лишь роковое стечение обстоятельств, с тем же успехом он мог бы упомянуть и netscape ldap server и кучу других продуктов. Важна не реализация, а протокол и предоставляемые им возможности.

gr_buza ★★★★
()
Ответ на: комментарий от gr_buza

Так разве я не согласен с этим, я был всего лишь не согласен с формулировкой, не больше того...:)

ZANSWER
()

Прочитав обсуждение, в миллионный раз убедился, что большинство так называемых "администраторов" (преимущественно касается Win-админов, хотя и в других областях тоже попадается) способны мыслить лишь категорией "как бы прикрутить костыль, который бы сам прикрутился, и учить ничего не надо...". И имеют соответствующий уровень знаний и желания учиться. Group Policy в AD - это не "золотая пуля". И не супер-пупер функция AD (достаточно упомянуть, что в момент их появления - или, скорее, активного использования - ZENWorks был уже вполне развитым продуктом, кроющим GP как сами знаете кто и кого). И с другими службами каталогов такой функционал реализовать можно - если уже не реализован (опять вспоминаем ZENWorks). А ещё хочется напомнить фанатам AD, что эта поделка (да, признаю - достаточно мощная, но тем не менее) сама по себе не умеет управляться ВООБЩЕ ни с чем, кроме Windows. И то, что прикручивает к ней функционал по управлению Linux и т.д. - костыть в чистом виде. Фанатам интеграции Windows-приложений в службу каталогов - ну что ж вы, родные? Ну да - не так просто, а зачастую невозможно, это реализовать. Но это, извините, проблемы дизайна от Microsoft. И нормальные службы каталога (а та же eDirectory куда как более нормальна по сравнению с AD) тут совершенно ни при чём. Вот так.

Cyril ★★
()
Ответ на: комментарий от andry_mine

>Redhat Directory Server - Отличный аналог AD и c поддержкой :)

оно умеет упомянутые тут GPO для виндовых машин?

anonymous
()
Ответ на: комментарий от Cyril

>опять вспоминаем ZENWorks

который стоит $70 на юзера, а поддержка AD в винде уже есть ...

anonymous
()
Ответ на: комментарий от Cyril

> Прочитав обсуждение, в миллионный раз убедился, что большинство так называемых "администраторов" (преимущественно касается Win-админов, хотя и в других областях тоже попадается) способны мыслить лишь категорией "как бы прикрутить костыль, который бы сам прикрутился, и учить ничего не надо...".

А на кой черт мне учить тонкости реализации новеловской директории, если у меня по дестятку компов на двух территориях и хочется простого удобства?

И мне влом копаться в тонкостях "правильных" служб каталогов, мне они не нужны. Я хочу поставить шнягу, которая бы установилась за пол часа и делала за меня 90% работы. Да, я отношусь к тем 80% потребителей, которым нужно всего 20% функционала, зато самого основного функционала. И я не хочу учить что-то два года, что бы уметь делать оставшиеся 20%.

Мне это попросту не нужно, можешь ли уважаемый Кирил это понять? =) Я этим не горжусь, просто сожалею, что в линуксе нет аналога AD.

Аналога не по каким-то сугубо техническим или потенциальным возможностям. А по возвожности быстрого и ненапряжного развертывания продукта "искаропки", буквально "за пол часа" силами недоучки админа, который при желании ничего не сможет поломать, ибо система будет этому сопротивляться.

В моем мелком бизнесе это куда важнее каких-то технических тонкостей и возможности работы с сотнями тысяч клиентов.

anonymous
()
Ответ на: комментарий от gnomino

>> Redhat Directory Server - Отличный аналог AD и c поддержкой :)

> Умеет ли оно сабдж и поддерживает ли Win-клиентов, можно ли интегрировать в него win-приложения, способны ли эникеи управлять этим делом после двух-трех занятий, сидя на винде и не уча никсы?

А AD может поддерживать Linux клиенты? Способны ли учащиеся 5ого класса средней школы, прошедшие обучение информатики управлять этим после двух-трех занятий? Сидя на горшке, не притрагиваясь к клавиатуре?

skwish ★★
()
Ответ на: комментарий от anonymous

> В моем мелком бизнесе это куда важнее каких-то технических тонкостей и возможности работы с сотнями тысяч клиентов.

Нету у тебя сотен тысяч клиентов.

Чем же алминистрирование AD проще того же eDirectory? С последним на порядок меньше проблем. Если бы ты работал в IT отделе хоть сколько-нибудь крупной конторы, не бросающей деньги на ветер - у вас бы это понимали.

skwish ★★
()
Ответ на: комментарий от skwish

> А AD может поддерживать Linux клиенты?

А оно кому-то надо? Если сервера под виндой, то вряд ли в такой компании появятся линуксовые десктопы. Обратное же- виндовые десктопы при линуксовых серверах встречается -очень часто, а решения кроме самбы 3, которая на уровне винды 20 летней давности, нет...

anonymous
()
Ответ на: комментарий от skwish

>Чем же алминистрирование AD проще того же eDirectory? С последним на порядок меньше проблем.

Чем докажете, что проблем на порядок меньше? :-)

anonymous
()
Ответ на: комментарий от skwish

AD:
+: купив у MS сервер - вы уже купили АД, оно хорошо понимает виндуз клиентов, полно дешевых админов способных сделать базовые вещи, гуишные фдмин тулсы, полно форумов "а как мне сделать", можно управлять скриптами
-: оно понимает только виндуз клиентов, даже стандартные протоколы (LDAP, Kerberos) на самом деле слегка "улучшены", вендор-лок недеЦЦкий, скриптование сложнее чем под другие системы, скрипты должны исполняться на форточной машине иначе самы вкусные провайдеры недоступны, живёт толко на мысы север, восстанавливание АД - АД!

eDirectory:
+: просто хороший LDAP с встроенным SSL и CA, хорошо масштабируется, хорошо работает в распределенной сети, платформы: нетварь, линукс, может еще чего
-: вендор-лок не менее недеЦЦкий, стоит денег, самый смак его юзать с идм, а он падла дорогоооооой, жаба везде где нужно и не нужно, админы дорогие и их мало

OpenLDAP+Kerberos+Apachee+(sh/perl/python/<your_favorite_language>):
+: гибко - реально полёт вашей фантазии не ограничен почти ни чем :) , мультиплатформенно, <ну добавьте что нибудь! pls :) >
-: конструктор "сделай сам", ваша система настолько хороша, насколько хорошо ___вы___ ея сделаете, мультматер сосЁт а без него оно годится толко для LAN <<50 клиентов


Вот такае персональная пойнт оф вью :)
GR.

anonymous
()
Ответ на: комментарий от anonymous

>мультматер сосЁт а без него оно годится толко для LAN <<50 клиентов

1500 компутеров в сети с samba 3 pdc и nss_ldap. никто не сосет, разве что секретутки, но не мне ;-(

anonymous
()
Ответ на: комментарий от anonymous

>вендор-лок

вот-вот. потому пошли все эти любители новеля куда подальше!

anonymous
()
Ответ на: комментарий от skwish

> Нету у тебя сотен тысяч клиентов.

> Чем же алминистрирование AD проще того же eDirectory? С последним на порядок меньше проблем. Если бы ты работал в IT отделе хоть сколько-нибудь крупной конторы, не бросающей деньги на ветер - у вас бы это понимали.

Я же ОБ ЭТОМ И НАПИСАЛ. Ты читать не умеешь?

anonymous
()
Ответ на: комментарий от anonymous

> А оно кому-то надо? Если сервера под виндой, то вряд ли в такой компании появятся линуксовые десктопы. Обратное же- виндовые десктопы при линуксовых серверах встречается -очень часто, а решения кроме самбы 3, которая на уровне винды 20 летней давности, нет...

Windows 88 ? Сервера у тебя под виндой потому что AD, AD под виндой потому что клиенты под виндой, клиенты под виндой потому что AD и сервера под виндой. Сам то понял какая чушь происходит?

Совсем загнался ананимус.

skwish ★★
()
Ответ на: комментарий от anonymous

>>мультматер сосЁт а без него оно годится толко для LAN <<50 клиентов
>1500 компутеров в сети с samba 3 pdc и nss_ldap. никто не сосет, разве что секретутки, но не мне ;-(

Ну а у меня любовница рыжая, кайен, вилла на багамах и яхта :) ==> Пзд не мешки ворочать!

Версию лдапа, nss_ldap & samba и (вырезав адреса, имена и хеши) конфиги в студию или ... см абзац выше :)

anonymous
()
Ответ на: комментарий от anonymous

>конфиги в студию или ...

или что? любовница рыжая? :-)

anonymous
()
Ответ на: комментарий от skwish

>Сервера у тебя под виндой потому что AD, AD под виндой потому что клиенты под виндой

во-первых, я с пидарасами не пью- а значит, на брудрешафт мы точно не пили. во-вторых, у меня нет AD в-третьих- люди используют AD потому, что у них десктопы на винде как с времен windows 88 ;-)

anonymous
()
Ответ на: комментарий от stalkerg

> OpenLDAP + posix ACL и все дела.

POSIX ACL убогое гавно. NFS4 ACL aka NT-style ACL рулят

anonymous
()
Ответ на: комментарий от shreck

> кто там рампалялся про 400$ ??? для тех, кто в танке: AD далеко позади по функциональности, удобству и охвату клиентских ОС от Novell ZENworks + Novell eDirectory.

1) Огласите стоимость ежегодных выплат за лицензии Zenworks и eDirectory. Кажется, за занворкс надо выплатить 195$ за юзера. Ну и зачем такое нужно при стоимости CAL неограниченной по времени ~20$

2) Где СВОБОДНЫЕ решения? Какой смылс в переходе на опенсорс систему чтобы использовать на ней дорогие проприетарные решения?!

anonymous
()
Ответ на: комментарий от anonymous

> Лехко :) если знать что означает выше сказанное и подход к его построению :)

У звиздоболов всё легко. А на самом деле открытого законченного решения нет, закрытые проприетарные решения - дороже AD, а вся эта линупсовая демагогия - жалкая попытка оправдать убожество системы и неприспособленность для корпоративного использования. Кучка даунов рассказывает как они управляют серверами через ssh, думая что это централизованное управление, и прикручивают убогий openldap к дырявой и глючной самбе без GPO, чтобы хоть как-то приблизиться к фунционалу винды.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.