Кстати вы ведь еще забыли приплюсовать стоимость Windows Server и лицензий на подключение к нему (которые оплачиваются отдельно). Что же до «корпоративных скидок» - поверьте, они не так велики когда вы не покупаете 10000 лицензий :-)

Ну и верно выше отметили - существенный минус OpenDirectory по сравнению с AD - необходимость установки клиента на рабочие станции.

Разница в том, что ты рассматриваешь под клиентскими рабочими станциями только винду, а no-dashi - нет, за что ему большое спасибо :)

Кошмар :(. Неужели в Челябинске все так плохо?

«Всё так плохо» везде кроме МСК, СПБ и крайнего Севера и нефтегазовых райнов. Но в последних «средний уровень» складывается из больших ЗП вахтовиков-нефтяников, а если вы к ним не относитесь - увы, опять таки стандартные 15-20 тысяч. Но это уже танцпол, давайте с этим завяжем, ок?

Но в любом случае, пусть будет не 2 дня работы офиса, а 5 дней

А также это сумма, которую надо одномоментно изьять из бизнеса и выкинуть, при том что примерно 30% оборотных средств у вас кредитные. Всё весьма непросто.

Хех!

Могу Вам только позавидовать ;). У меня, увы, полно Windows-only софта. Например, управляющий софт к куче оборудования (спектрофотометры, амплификаторы, микроскопы, проточные цитофлюориметры и т. п.).

Такого у меня нет. Но, в силу специфики работы, есть много софта, который писан именно нами. Так что, при наличии исходников, всё решается проще. А вообще, если по-хорошему, то я бы на самый крайний случай нанял несколько команд по переработке существующего софта. За деньги, да (я понимаю что это странно, но всё же). И от этих команд потребовал бы и качества и сроков и передачи исходников. Ибо работают за деньги. С другой стороны, возможно что и сами производители соответствующего железа выпускают ПО для Linux? Может, имеет смысл задать ещё и им вопрос по e-mail?

Просто, не всё и не сразу, но мы то же не в один день ко всему этому приходили. В итоге такой подход в стратегической перспективе более оправдан, т.к. оба конца верёвки в Ваших руках. И софт и вся IT-инфраструктура. Если ещё улучшить ситуацию (мы так уже и сделали) и разместить в своей сети собственный репозиторий исходников (git), плюс gentoo mirror, плюс завязать на него calculate mirror (на клиентских машинах calculate), то можно довольно экономично (буквально из одной комнаты) решать практически любые задачи по администрированию и обновлению софта на машинах. Сколько их, где они — не важно.

Теперь мы вообще хотим отвязать пользователей от их рабочих мест. Например. Есть пользователь. Работает и дома (по VPN) и на своём рабочем месте. Я хочу чтобы пользователь, подключаясь к сети офиса, получал бы в распоряжение своё рабочее место, вплоть до последней иконки на рабочем столе. Плюс к тому — например, начиная с Nokia E60, есть возможность использовать VoIP-клиента. Таким образом, телефон сотрудника должен иметь возможность и asterisk офисный использовать и телефонную/адресную книгу организации. Т.е., сотрудник сохраняя GSM-телефон, получает ещё и VoIP, по которому с ним можно связаться где угодно, был бы Wi-Fi.

Есть ещё дофига задач, всех и не перечислить. С LDAP это решаемые задачи. С AD? Ну, не знаю. Мне например, «хватило».

А часто Вы сталкиваетесь с подобными примерами (в организации вообще нет никакой IT-инфраструктуры)?

Есть. Но она постепенно меняется и расширяется в том числе и за счёт предоставления новых сервисов. Собственно, моё глубочайшее убеждение что те админы хороши, которые сидят и рубятся в игрушки. Вот когда они бегают, то это означает что у нас всё плохо. Отсюда и «простота» подходов — одним софтом порешать как можно больше аналогичных задач. Вот кстати, во что пока упёрся — связка bind и OpenLDAP. Надо протестировать насколько она безопасна сегодня, а то там, помнится, были там на стыке и remote buffer overflow и dos. На это просто нужно найти время.

Отсюда и сформировавшийся подход — новые сети мы надстраиваем без участия M$-технологий. И, по-моему, уже даже без их подобия.

Можно сразу поднять контроллеры на Samba4 ;).

Можно наверное... По крайней мере, потом потестируем. Как время будет. И если будет необходимость.

Но и такую сеть сложно назвать гетерогенной ;).

Положа руку на сердце, да. :) Но мы медленно, но верно движемся в направлении изжития из своей сети M$. Это не самоцель, это стратегическое направление. В итоге это должно отвязать нас от «подойника» — за то плати, за это плати...

Странно, никогда с таким не сталкивался...

Мне пары раз хватило. Админам, по-моему, то же... :))) Я не разбирался в чём там (в итоге) дело, т.к. искренне считаю что если за систему плачены деньги, то она обязана работать за них. Либо, если мы сами тут что-то гондобим, то вся ответственность на нас.

Ну как сказать...

Мое мнение - стоимость OS давно уже перестала быть существенной при расчете TCO.

Стоимость ОС да. Только её по отдельности считать смысла нет. Ещё надо обязательно учитывать расходы на тот же SQL-сервер, офисные пакеты, антивирусы, прочий трам-парам... Без которого всё это мало кому нужно. Когда посчитается всё в сумме, набежать может ой как немало. А потом начинается — «продление лицензий», там лицензия утеряна, надо покупать заново... Нет уж, спасибо. Но не теряется эта статья расходов. Ну вот ни как не хочет теряться... :)))

если с первыми двумя у OpenLDAP всё в порядке, насколько я помню - то насчет третьего не уверен.

Схемы вообще к LDAP-серверу не имеют отношения: каким нужно, такие и ставятся. готовая схема RFC2307bis для OpenLDAP есть. А вот «раздача прав на элементы каталога» - в этой части как раз было бы здорово написать модульное решение, чтобы можно было подставить модуль для определённого каталога. В этом-то как раз и есть колоссальное историческое различие между 389 DS и OpenLDAP: совершенно разная система назначения прав. Причём в OpenLDAP очень хреновая, весьма непрозрачная система, в которой чёрт ногу сломит, так что, честно говоря, не разбираясь глубоко в ACL этого сервера каталогов, вам вряд ли удастся написать соотв. модуль. Главное - написать слотовую систему, в которую можно было бы подставить свой код.

Только её по отдельности считать смысла нет. Ещё надо обязательно учитывать расходы на тот же SQL-сервер, офисные пакеты, антивирусы, прочий трам-парам...

ТСО открытой системы, использующей общеизвестные протоколы, построенной на стандартных компонентах, подчиняющихся RFC и проч., ниже по определению. Все расчёты, показывающие, что груда проприетарных чёрных ящиков работает дешевле - основаны на том, что в компании IT-компонента очень слабая, и всё, что они делают описывается «делай раз, делай два, от забора до обеда». Microsoft Solutions - это проприетарное анальное рабство, его в принципе нельзя сравнивать с миров открытых стандартов, потому что это неадекватное сравнение тёплого с мягким.

Да. Абсолютно согласен.

Я только постарался как-то помягче это сформулировать. :)))

совершенно разная система назначения прав.

Дело в том, что права я назначаю вообще только один раз - правда на группы, при инициализации каталога :-) Так что с этим как раз проблем быть не должно.

готовая схема RFC2307bis для OpenLDAP есть

Ну значит вообще всё замечательно, что ещё тут сказать - можно развертывать и на OpenLDAP (тем, кто знает что делает). Благо скрипты просто оперируют вызовами ldamodify/kadmin.

Кстати вы ведь еще забыли приплюсовать стоимость Windows Server и лицензий на подключение к нему (которые оплачиваются отдельно).

Да, конечно. Но все равно это вполне доступные для организации деньги...

Разница в том, что ты рассматриваешь под клиентскими рабочими станциями только винду

Неверно :). У меня рабочие станции под Linux прекрасно себя чувствуют в AD с аутентификацией через winbindd. С выходом Samba 4 смогу отказаться от Windows Server ;). Ну а полностью отказаться от Windows, увы, в обозримом будущем не получится - слишком много специфического софта :(.

а no-dashi - нет, за что ему большое спасибо :)

Это да :).

слишком много специфического софта

Согласен, но нужно чаще смотреть состояние его поддержки в wine.

Это да :)

Присоединяюсь! Проект отличный и соответствует принципу KISS, что само по себе вызывает уважение.

А вообще, если по-хорошему, то я бы на самый крайний случай нанял несколько команд по переработке существующего софта. За деньги, да (я понимаю что это странно, но всё же). И от этих команд потребовал бы и качества и сроков и передачи исходников.

IMHO, абсолютно нереальная задача. Во-первых, у меня нет на это денег - тратить гранты вместо исследований на переписывание софта, мягко говоря, неразумно. Во-вторых, как я уже говорил, софт завязан на соответствующее оборудование, спецификации которого, естественно, никто просто так не предоставит.

С другой стороны, возможно что и сами производители соответствующего железа выпускают ПО для Linux?

Ну как Вы, наверное, догадываетесь, я проверял это :). Пока что уже третий (!) год веду переговоры с одним производителем амплификатора по поводу Linux-версии софта. В 2008 г при покупке меня клятвенно заверяли, что работа вовсю идет и, максимум, через пол-года все будет. Сейчас 2012 г, а воз, как говорится, и ныне там :(. Всем остальным это просто неинтересно - на фоне многомиллионной стоимости оборудования лишние несколько тыс. р. за копию Windows просто незаметны. Тем более, что часто управляющий компьютер идет в комплекте с прибором...

С AD? Ну, не знаю. Мне например, «хватило».

Решаются абсолютно точно также ;).

Вот кстати, во что пока упёрся — связка bind и OpenLDAP.

У меня bind работает в качестве DNS-сервера AD ;). За 7 лет эксплуатации проблем не было...

Но мы медленно, но верно движемся в направлении изжития из своей сети M$. Это не самоцель, это стратегическое направление. В итоге это должно отвязать нас от «подойника» — за то плати, за это плати...

Я тоже стараюсь двигаться туда же ;). Пока единственное, что меня держит из серверной инфраструктуры MS - AD. Именно поэтому с таким нетерпением жду четвертую самбу - надеюсь, что с ее помощью можно будет полностью отказаться от Windows Server ;). Ну а с рабочими станциями, к сожалению, все сложнее :(.

искренне считаю что если за систему плачены деньги, то она обязана работать за них.

IMHO, это ошибочный подход. Уплачено, грубо говоря, разработчикам (программистам), но никак не админам ;).

Ещё надо обязательно учитывать расходы на тот же SQL-сервер, офисные пакеты, антивирусы, прочий трам-парам...

Зачем? Никто не запрещает Вам использовать открытый софт на платформе Windows. Напомню, что выбор в качестве OS Winodws - это не самоцель и не преклонение перед проприетарным софтом, а вынужденная мера, обусловленная необходимостью эксплуатации Windows-only софта...

Дело в том, что права я назначаю вообще только один раз - правда на группы, при инициализации каталога :-)

При инициализации всё просто. А вот если нужно автоматизированно вставить нужные правила в уже существующий - на мой взгляд, такая проблема вообще не решается автоматами, за исключением разве что каких-то очень крутых с ИИ. В этом плане то, что OL похеряли per object aci, выглядит, мягко говоря, недальновидным. В итоге большинство OL-каталогов либо слабо защищены, либо защищены так, что шаг в сторону - и ничерта не работает, причём чтобы разобраться, нужно потратить день и перечитать километровые логи в режиме debug=acl. С другой стороны, OpenLDAP - отличный СК, а ложка дёгтя есть почти в каждой бочке мёда.

обусловленная необходимостью эксплуатации Windows-only софта...

А когда называют такой софт, часто плакать хочется: то 1С, которому всё-таки есть альтернативы, а серверная часть работает в Linux, то украденный SolidWorks, альтернативу которому как правило ищут люди в масках...

В этом плане то, что OL похеряли per object aci, выглядит, мягко говоря, недальновидным

В общем-то, согласен. Выбор 389-ds диктовался как раз несколькими условиями:

1. Распространенный (он есть даже под убунту, не говоря уж про «промышленный стандарт» RHEL)

2. Должен быть хорошо документирован (документация о redhat directory server бесподобно хороша, IMHO)

3. Должен поддерживать нормальное управление ACL (поскольку я во многом выбирал сервер так, чтобы он мог реализовать и другие нужды, в частности адресную книгу предприятия и контакт-лист внешних клиентов в LDAP)

4. Должна работать мультимастерная репликация «из коробки» (или настраиваться без существенного шаманства).

Собственно, 389-ds под эти требования полностью уложился, а OpenLDAP - не совсем, поэтому такой выбор и был сделан.

Поздравляю

Выбор 389-ds диктовался

Кстати тебе тама привет с ФОССа ( если ты не в курсе это такой ресурс где бывает пасется Витус который мне 12 лет назад в фидо все мозги с своим дебианом вынес )

Тама написали что то про твой АД ;)

А когда называют такой софт, часто плакать хочется

Ну, я выше примерно указал, о каком софте речь ;).

Тьфу ссылку забыл

http://fossplanet.ru/view/8a97ec7f0c631cf441a0d0817f7a0e1b.html

( Боковой это тот кто сейчас пилит ИПА .... вроде ;) )

Да уж... Не позавидуешь.

Это я про ситуацию с поддержкой железа софтом.

У меня bind работает в качестве DNS-сервера AD ;). За 7 лет эксплуатации проблем не было...

Ну, значит Бог миловал...

IMHO, это ошибочный подход. Уплачено, грубо говоря, разработчикам (программистам), но никак не админам ;).

:))) А вот админов (хотя я и из разрабов всё-таки сам буду), жалеть надо. Негоже на них перепихивать грехи реализации или дизайна системы. :)))

Нет.

Никто не запрещает Вам использовать открытый софт на платформе Windows.

А вот этого спасибо, но уже не нужно. :)

А вот этого спасибо, но уже не нужно. :)

Ну что ж, могу Вам только позавидовать :). Удачи!

В LJ уже обсудили: http://abbra.livejournal.com/185768.html

Краткое резюме - он на автомате переложил всё на привычную ему схему, оставляя Windows введенным в AD и пристегивая мысленно к нему мой вариант также, как и делал это с FreeIPA, то есть пришивая собаке пятую ногу через cross-realm trust и прочие «взаимодействия», «доверительные отношения» и «синхронизации».

Идея «А что если этот AD ващще выкинуть и чтобы никаких контроллеров домена Windows?!» (моя отправная точка) им изначально не рассматривалась - что, впрочм, характерно для большинства - «Как??? Отказаться от ActiveDirectory??? Но это же напрвильно, как мы будем жить без ActiveDirectory??? Мы ведь с ним синхронизироваться должны!!!»

Просто другой взгляд на задачу (а на самом деле, просто другая задача и совсем другой подход).

Идея «А что если этот AD ващще выкинуть и чтобы никаких контроллеров домена Windows?!» (моя отправная точка)

Для этого нужно написать полноценную замену AD ;). Собственно говоря, именно по этому пути и пошли разработчики четвертой самбы ;).

на самом деле, просто другая задача и совсем другой подход).

Подход действительно другой, а вот задача точно такая же - централизованное управление пользователями и ресурсами ;).

Идея «А что если этот AD ващще выкинуть и чтобы никаких контроллеров домена Windows?!»

Какая еще идея ? Это вообще то баян. Я тебе проблему описал, а ты опять про клиента для вин :( А по идее нужно вообще без вин клиента. А групповое управление софтом ( не доступ и запуск - с этим фрееипа справляется ) типа установка и т.д. это вообще задача других прог. Не забываем про юних вай. Пример спайс-валка - автризация тама ипа, установка ос тама кобблер ну и т.д.

Надеюсь ты же натащищь все кучу и не изобретаешь собственный кербер или днс ...

У меня вот глупый вопрос нуба. А зачем производственный софт на клиенте? Ведь идеология *NIX в абсолюте сводится к терминальным решениям и заморочки с AD/Samba как собаке пятая нога.

А зачем производственный софт на клиенте?

Клиент понятие растяжимое. 20000 виртуальных серверов в облаке это в принципе теже клиенты ;)

Собственно, моё глубочайшее убеждение что те админы хороши, которые сидят и рубятся в игрушки. Вот когда они бегают, то это означает что у нас всё плохо. Отсюда и «простота» подходов — одним софтом порешать как можно больше аналогичных задач.

То такой у тебя геморрой, то сякой, то тут прикручиваешь это, то там - то, то тебя раздражает, это. А я вот ну вообще за весь день ничего не делаю и так продолжается годами и в разных конторах. В одной очень крупной так вообще приходил на работу перед обедом - всё равно делать нечего (читаю лор, анекдоты, новости на разных сайтах, пишу дурацкие каменты, троллю). А всё почему? Потому что везде только одна проклятая венда с АД - один раз поставил, настроил быстро «из коробки» и всё работает годами без проблем (нет никаких проблем с принтерами при обновлении - ни в NT 3.51, ни в NT4.0, 2000, 2003, 2003R2, 2008, 2008R2 такого не видел), нет никакой гетерогенности, не надо ничего прикручивать, всё работает «из коробки» - не жизнь, а малина! ;)

всё работает «из коробки» - не жизнь, а малина

... а потом однажды при выгрузке отчета из 1С в эксел оно начинает падать с ошибкой «Недостаточно памяти», при том как таскменеджер показывает 300 метгабайт свободных. Причем на половине машин, а вторая половина работает нормально. А после переустановки винды, оно иногда начинает работать, а иногда - нет... И ты переставляешь и переставляешь винды до тех пор, пока фазы планет не сойдутся.

Угу...

троллю

Это, кстати, заметно. :)

Можно подумать в МСК все жируют. Да судя по автомобилям-иномаркам какие то финансы у людей есть, но учитывая заоблачную стоимость хреновенькой пещерки из двух комнат, москвичи рискуют тупо вымереть как мамонты. А вот южане экстрималы питающиеся одним хлебом и привыкшие жить с десятью детями в однокомнатной квартире я чувствую приживутся.

Есть ещё РеактОС кстати

Отличная штука! Планируется ли спорка для Debian?

Отличная штука! Планируется ли спорка для Debian?

Присоединяюсь!

http://relay.logotek.ru/~viking/opendirectory/faq.php

Второй вопрос сверху :-)

alien?

Можно попробовать! :)

Как вариант, но че то нет доверия у меня к этой штуке.