LINUX.ORG.RU
ФорумTalks

Здравая мысль в порядке бреда

 , ,


0

6

Идея в продолжение вот этой [TROLL] [ FAT] [SAMBA] [Этот_ваш_ЛИНУПС] Зачем «играть в догонялки»??? темы.

Все в курсе, что винда умеет быть участником Kerberos'ного домена? Ну да, если кто не в курсе - теперь в курсе. То есть ей можно указать, что она будет проверять юзеров через Kerberos - любой, не обязательно виндовый/AD. Единственное условие - чтобы на компе была заведена учетка для юзера.

Собственно мысль:

1. Создаем каталог LDAP [ready]
2. Поднимаем сервер Kerberos [ready]
3. Заводим аккаунты для юзеров и компов и принципалов в керберосе для них [ready]
4. Поднимаем на винде сервис, который автоматом заводит учетки юзеров и групп, беря их из LDAP и синхронизировала содержание групп [work-in-progress, 70% complete]
5. Настраиваем винду чтобы она аутетнтифицировала юзеров в керберосном домене [ready]
6. Пишем плагин для Kerberos, который изменение пароля пробрасывает в LDAP [planned]

И всё - у нас есть живой SSO без самбы и без AD. Причем на всех компах видны все юзеры (главное отличие от PGINA), удаленные из LDAP'а юзеры и группы автоматически удаляются на всех компах и т.п.

При желании, можно прикурить из LDAP'а и самбу - просто расширив плагин так, чтобы он синхронизировал и самбовский хэш пароля. В планах донавесить сервис, который будет делать автоматическую установку/удаление софта на основании конфигурации взятой в LDAP, применять для пользователей ограничения (аналог GPO user restrictions), расставлять права на файловой системе и накатывать юзерам в реестр ключики какие надо (например, прописать всем единый прокси или там еще что-то).

★★★★★

А, да, профиты - SSO, возможность ввести в домен даже всякие Home/starter edition, избавляемость от виндового сервера как класса вообще.

no-dashi ★★★★★ ()

Велосипед знатный, но годный. Потом непременно расскажите о результатах.

geekless ★★ ()

work-in-progress, 70% complete

А можно ссылку? Или это ты сам делаешь и ещё никуда не выложил?

Deleted ()

4. Поднимаем на винде сервис, который автоматом заводит учетки юзеров и групп, беря их из LDAP и синхронизировала содержание групп [work-in-progress, 70% complete]

А вот тут может возникнуть косяк во взаимодействии непосредственно между вендокомпьютерами. Из-за того, что SID'ы разные...

Deleted ()
Ответ на: комментарий от Deleted

Не возникнет. В керберосном режиме они SID'ами не обмениваются.

no-dashi ★★★★★ ()
Ответ на: комментарий от Deleted

Или это ты сам делаешь и ещё никуда не выложил?

Сам делаю, сейчас тестирую - у меня уже работает синхронизация юзеров, групп и членства в группах. Осталось обернуть это дело в обертку сервиса и написать инсталятор.

no-dashi ★★★★★ ()

Начинание конечно благое, но пункты 4 и 6 отдают костылизмом, тем более, что такая функциональность вроде может быть сделана и самбой 3 в виде нт4 домена.

GAMer ★★★★★ ()

Реквестирую манула. Сейчас как раз есть подопытный домен, а вендосервер раздражает своей прожорливостью и бесполезностью.

aleks13 ()

Глянь FreeIPA, вроде бы тоже самое, только не уверен есть ли синхронизация учёток на компах в Kerberos

WhiteWolf ()
Ответ на: комментарий от GAMer

самбой 3 в виде нт4 домена

Ещё один. Повторюсь - я хочу _вообще_ избавиться от термина «домена» и необходимости в самбе. _В_приципе_

no-dashi ★★★★★ ()

И всё - у нас есть живой SSO без самбы

и без сети?

это очень полезная и нужная штука :)

Rastafarra ★★★ ()

Задача подразумевает изрядное количество виндовых машин. Тогда есть вариант 2: отправляем все компы в АД, получаем SSO, «видны все юзеры» и т.п, те же политики для неблагонадёжных пользователей, вполне надёжный ldap/kerberos для всяких своих нужд, по цене невменяемого количества аттрибутов в ldap, и необходимости устанавливать smb-common на серверах перед некоторыми операциями, и 2х «лишних» виндовзов. Чем это хуже?

DonkeyHot ★★★★★ ()
Ответ на: комментарий от DonkeyHot

отправляем все компы в АД

Предварительно закупив и установив на все компы Windows 7 Porfessional или Ultimate, ага. Ну и еще заплатив за Windows Server 2008R2. А чо, деньги нужны чтобы их тратить, верно?

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

А зачем ставить целью именно избавление от домена? Особенно в свете того, что он и сделан для облегчения администрирования?
То, что в топике заменяется 3й самбой, 4я с АДом уже в 18й альфе и скоро вполне себе будет энтерпрайзненькой.
Так что винсервер и не нужен. Экономия при приобретении хоум вместо про клиентов? Так поддержка домена это не все отличия, из-за которых пользовать хоум неудобно.

GAMer ★★★★★ ()
Ответ на: комментарий от GAMer

А лицензия хоум разве позволяет подобное использование?

geekless ★★ ()
Ответ на: комментарий от geekless

подобное использование

Какое именно?
Если мутить, как того хочет ТС - да пожалуйста, есть же/были сторонние DS под винду. А подключать её к вендодомену просто так невозможно - повырезано всё, так или иначе придётся переделывать её в про, чему она(XP по крайней мере) активно сопротивляется и без нового серийника при этом не работает.

GAMer ★★★★★ ()
Ответ на: комментарий от geekless

Позволяет. Работайте на здоровье. Только AD работать не будет.

zgen ★★★★★ ()
Ответ на: комментарий от GAMer

Я имел ввиду лицензионные ограничения.

Погуглил, пишут, что ограничений нет, ок.

geekless ★★ ()
Ответ на: комментарий от GAMer

Начинание конечно благое, но пункты 4 и 6 отдают костылизмом, тем более, что такая функциональность вроде может быть сделана и самбой 3 в виде нт4 домена.

Вообще говоря костылизм - это виндовые домены. Собственно виндомены это костыли от MS навернутые вокруг kerberos+ldap. Просто на определенном этапе пошел классический embrace&extend когда MS вносит кривизну, мелкие изменения, таким образом что бы затруднить использование оригинального открытого стандарта не софтом от MS.

То есть, фактически, данное предложение хорошо тем что исправляет не то что сделано прямыми руками, то есть kerberos&LDAP , а то что сделано кривыми руками на костылях.

kernel ★★☆ ()

Я думаю что решения аналогичные данному не стали популярными ( и вообще ситуация не стала развиваться в этом направлении) потому что нужно будет массово делать на винде пункты 4,5. А «поддержка домена» вроде как это и есть в том числе 4,5 только от самой MS ну и за соотв. деньги.

kernel ★★☆ ()
Ответ на: комментарий от kernel

потому что нужно будет массово делать на винде пункты 4,5

А чем запуск opendirectory_setup.exe /u:defaults.cfg отличается от «My computer -> Properties -> Computer name -> Change -> Domain ...» ???

no-dashi ★★★★★ ()
Ответ на: комментарий от tazhate

В смысле? Сначала сделать надо, а уж потом «в вики» :-)

no-dashi ★★★★★ ()
Ответ на: комментарий от kernel

П.5 - фигня, домен тоже надо настраивать.
А вот п.4 мне и не нравится тем, что на клиентах будет заведена куча пользователей. В идеале они должны получаться удалённо, как афаик делала нетварь в своё время. Но она емнип заменяла winlogon.

GAMer ★★★★★ ()
Ответ на: комментарий от no-dashi

В смысле? Сначала сделать надо, а уж потом «в вики» :-)

Я так, заранее :) А то вдруг забудешь.

tazhate ★★★★★ ()
Ответ на: комментарий от GAMer

В идеале они должны получаться удалённо, как афаик делала нетварь в своё время

Если память мне не изменяет, то нифига подобного. При логине она автоматически логинилась в винду под именем юзера, совпадающим с именем нетварьского юзера и с паролем нетварьского юзера. А если такового не было - спрашивала «А под каким юзером тебя в винду запускать?». И при смене пароля был крыжик «сменить также пароль соответствующего виндового юзера».

no-dashi ★★★★★ ()
Ответ на: комментарий от GAMer

А чтобы не было на компах кучи локальных юзеров, народ использовал виндовый домен (домен NT4 или AD) и нетварьский логин. Это походу связано с тем, что нормального NSS как в юниксах на винде так никогда и не было - enum юзеров был реализован в SAM, а нужных хуков чтобы туда подцепиться не было.

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

А чем запуск opendirectory_setup.exe /u:defaults.cfg отличается от «My computer -> Properties -> Computer name -> Change -> Domain ...» ???

Именно тем что нужно сначала сделать opendirectory_setup.exe , а потом залезть в My computer -> opendirectory -> xxx -> yyy . И opendirectory_setup.exe в случае венды банально идет в составе дистрибутива, и он совместимый.

При чем для сети opendirectory нужен умный админ который сгенерит defaults.cfg а что бы настроит домен в его примитивных формах, емнип, нужен админ не такой умный. easy of use на начальном этапе - обычно один из ключевых моментов для принятия технологии.

Если резюмировать - в этой схеме есть банальный лишний барьер, это раз.

Два, и самое главное - вендовые домены не распространились сами. Их продавила огромная сеть интеграторов-партнеров MS, внедренцев и тп. Собственно сами домены фактически существуют в такой форме для большего удобства их пропихивания.

PS
Сама идея на тему того что «войну нужно переносить на территорию противника» она архиверная. Но она должна комплексно решатся, не «„счас пихнем скриптов. В том числе и комбайнами с линукс стороны.

Грубо говоря нужно решение легкое и безгиморное. *Более* легкое и безгиморное чем у MS, в *комплексе* И сейчас такого на стороне линукса(юникса) просто нет.

kernel ★★☆ ()
Ответ на: комментарий от kernel

Грубо говоря нужно решение легкое и безгиморное. *Более* легкое и безгиморное чем у MS, в *комплексе* И сейчас такого на стороне линукса(юникса) просто нет.

А есть проекты, двигающиеся в этом направлении?

RedPossum ★★★★★ ()
Ответ на: комментарий от kernel

Именно тем что нужно сначала сделать opendirectory_setup.exe

А вот это я сейчас и делаю :-) Почти сделал, точнее. Сейчас только разберусь как вендовый сервис на C# написать, и заверну в красивую обертку «пре-альфу версии 0.1» :-)

no-dashi ★★★★★ ()
Ответ на: комментарий от Deleted

work-in-progress, 70% complete

А можно ссылку? Или это ты сам делаешь и ещё никуда не выложил?

Двачую данного оратора

Dark_SavanT ★★★★★ ()

4. Поднимаем на винде сервис, который автоматом заводит учетки юзеров и групп, беря их из LDAP и синхронизировала содержание групп [work-in-progress, 70% complete]

Вот это вот - самый большой косяк идеи. Домен - он, в частности, как раз для того и нужен, чтобы не было такого. И подобная реализация потенциально может внести кучу реальной головной боли для администраторов.

Cyril ★★ ()
Ответ на: комментарий от no-dashi

Вот кстати, в плане ликбеза, есть ли для линукса толковые варианты реализации SSO/политик безопасности и подобного Ынтерпрайза?

интересует даже не серверная часть, тут более-менее понятно, а именно реализация для клиентских линуксовых машин. чтобы можно было логиниться используя «доменную»(не знаю как это назвать адекватно) учётку на любом компе в сети и получать определённые права на запуск приложений, например.

Dark_SavanT ★★★★★ ()
Ответ на: комментарий от Cyril

Можно, конечно, сделать свою реализацию домена для винды, которая бы выглядела и действовала как доменный клиент. Только вот геморрою дохрена.

Dark_SavanT ★★★★★ ()

Как при такой схеме централизованно рулить ресурсами сети?

King_Diamond ()
Ответ на: комментарий от Cyril

неа, самба - это серверная часть, а то, что делает no-dashi это именно клиентская часть, для клиентской винды.

Dark_SavanT ★★★★★ ()
Ответ на: комментарий от Dark_SavanT

и получать определённые права

Нету такого АФАИК. В немалой степени из-за зоопарка софта. Выходом могли бы стать высокоуровневые политики, которые бы для применения на локальной машине превращались бы в кучу скриптов для управления установленным у клиента софтом.

GAMer ★★★★★ ()
Ответ на: комментарий от Cyril

В каком месте «кучу» если оно полностью все прикуривает с сервера, включая удаление объектов, причем только при 100% уверенности в цельности полученных данных?

no-dashi ★★★★★ ()
Ответ на: комментарий от GAMer

Насколько я понимаю, это можно бы сделать через тот-же SELinux/AppArmor, только вот грамотная автоматическая настройка этого добра - дело непростое.

Dark_SavanT ★★★★★ ()
Ответ на: комментарий от no-dashi

вендовый сервис на _C#_

Oh noes!!
<Картинка с Вейдером/>

GAMer ★★★★★ ()
Ответ на: комментарий от Dark_SavanT

Здрасте... Это я с серверной части сейчас сижу на машине с Linux в домене AD? SAMBA, вообще-то, с обеих сторон работает...

Cyril ★★ ()
Ответ на: комментарий от Dark_SavanT

sssd рулит всем стеком аутентификации, consolekit помогает в авторизации. А как сделать скрипт что будет вытягивать архив конфигов - наверное сам сообразишь :-)

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

В каком месте «кучу» если оно полностью все прикуривает с сервера, включая удаление объектов, причем только при 100% уверенности в цельности полученных данных?

Нет ничего, на 100% надёжного и работоспособного. И если этот костыль почему-то сломается (тривиальный вариант - очень умный пользователь поменял себе пароль локально или снёс «лишнюю» учётную запись) - начинаются проблемы. Это просто навскидку.

Cyril ★★ ()
Ответ на: комментарий от Cyril

В топике разговор вроде шёл про виндовых клиентов. Или я неправильно распарсил твоё сообщение

Dark_SavanT ★★★★★ ()
Ответ на: комментарий от no-dashi

Посмотрите в качестве инсталятора на WIX, msi пакеты, да XML, да ад, зато open source, инсталятор virtualbox как раз юзает сабж.

bhfq ★★★★★ ()
Ответ на: комментарий от Dark_SavanT

Да дело это не столько сложное, сколько хлопотное и кропотливое.
Опять же вопрос - SELinux, AppArmor юниксовые права или ещё что-то? А может просто ярлычок у юзера удалить? =)
Как быть с ДЕ? Если рулить правами через MAC/RBAC, надо эти права как-то отражать в разных средах.

GAMer ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.