LINUX.ORG.RU

Централизованное управление сетевыми ресурсами предприятия.


0

0

В статье подробно, с примерами, описаны следующие элементы централизации сетевой инфраструктуры современного предприятия:

1) Подсистема управления настройками

* Первоначальная настройка OpenLDAP

* Настройка связки DHCP+LDAP

* Настройка DDNS

* Настройка Squid и IPTables

* Настройка авторизации в OpenLDAP

* Хранение в OpenLDAP произвольной справочной информации

2)Подсистема учета трафика

* Создание SQL базы данных

* Учет прокси-трафика

* Учет NAT-трафика

3) Графический интерфейс системы администрирования

* Описание графического интерфейса с точки зрения пользователя

* Реализация графического интерфейса

Статья снабжена готовыми схемами, файлами настроек и собственным репозитарием с используемыми программами.

Автор: Евгений Прокопьев

>>> Статья

★★★★★

Проверено: Demetrio ()

Ребятки, рано радоваться! Этот опыт не пригодится ровным счетом никому (если не учитывать небольшой процент пользователей ALT). Что указаный дистрибутив, что мандрака настолько кривы, что обращать внимание на документацию для них пользователям других дистрибутивов - глупая трата времени. Поверьте несчастному, когда пытался настраивать на Федоре и Сусе самбу и лдап согласно официальной документации к альту - только потратил два дня драгоценного времени. Сусе в этом отношении более продвинута, но и Федор 2 удалось нормально настроить после некоторых поисков документации и инете. В отношение Альта - удивляюсь его пользователям, как в свое время удивлялся пользователям русской версии MS DOS. Ребятки могли бы предложить качественную руссификацию нормальных дистрибутивов, вместо этого занимаются хуйней.

anonymous
()
Ответ на: комментарий от eda

>Но это не готовое решение, это описанияя пути и все. Все здорово, но на коробочное ПО не тянет.

Спорно. Коробка с готовым к установке ПО приложена. Мы торгуем коробочным ПО и пользуемся им , но по правде говоря, я не очень понимаю, что такое "коробочное ПО", как критерий качества.

>Явно не хватает поддержки MAIL, SAMBA

Да cyrus-imapб cyrus-sasl и samba тут в качестве модулей были бы уместны, тем более, что готовые схемы ldap к ним есть. В состоянии "У меня работает."

> RADIUS (VPN,dialup), mod_auth_ldap у Апача. Можно найти и эти рецепты и скрутить все скриптиками в нечто единое.

Возможно. Это тем более опциональные плагины со своими зависимостями. Нельзя все запихивать в одну оболочку. Монстр получится.

>1) Предприятие уже имеет свою информационную структуру, в которой есть БД кадров со штатным расписанием, уровнями полномочий итд итп. Именно в существующей структуре заложено масса информации по ролям в различных системах авторизации.

Эта база должна быть в ldap. Это часть процесса миграции.

>Кто выдает трафик, следит за использованием PROXY?

Ответственные работники. У них должны быть соответствующие логины роли в административном интерфейсе.

>Безусловно робот должен поддерживать отключения по лимитам, а начальник и/или уполногмеченное им лицо и/или некая служба имеет право взглянуть на прокачки пользователя и управлять лимитами. Для решения этой задачи придеться использовать структуру организации.

Да, и это несложно.

>Какой UID должен иметь пользователь в UNIX системах? >Вполне естественно что UID его должен однозначно соотноситься с его цифровым пожизненным идентификатором в БД кадров ( вероятно лучше прибавить 10^6, что бы не было конфликтов с системными uid-ами ). И также логин пользователя один, на всех системах. Пароль - вопрос личной гигиены.

ну так обычно и делают. см, например, winbindd.

>2) Распределнность управления.

Для этого существует репликация в ldap и acl.

>3) Из-за сложности процесса управления авторизацией, первоисточником должна стать БД. Она обеспечит целостность данных. Чуть больше проблем чем с LDAP-ом,

Все это уже есть в ldap. Абсолютно ни к чему вытаскивать доступ к БД из под ldap. Целостность сверх того, что дает ldap никакая БД не обеспечит, а проблем с безопасностью прибавится.

>Кроме этого у openLDAP серьезные проблемы с ролями. Все полномочия >прописываються в конфигурационный файл. Нельзя построить >авторизационную схему на основе внутреннего запроса на наличие >какого-либо признака у пользователя, или принадлежность какой-то >группе в дереве LDAP. Например у SUN ONE именно так. Разубедите если >я не прав.

Это не уровень ldap. В ldap задается только информация о пользователе со всеми его признаками и правила доступа к отдельным полям в ней. Роль и права конкретного пользователя определяется тем, кто его авторизует, то есть используемым сервисом.

>Если проект будет пытаться дотянуть до уровня среднего предприятия, то ,вероятно, моя писанина будет интересна.

На http://www.linux-os.ru/wiki в числе прочего намечен скелет такого решения. По мере созревания решения будем коллективно его там выкристализовывать. Присоединяйтесь.

ЗЫ

Спасибо за отклик.

Я думаю, Евгению есть над чем подумать.

anonymous
()
Ответ на: комментарий от anonymous

>Поверьте несчастному, когда пытался настраивать на Федоре и Сусе самбу и лдап согласно официальной документации к альту - только потратил два дня

Изначально предполагается, что пользователь знает _свой_ дистрибутив и умеет применять самые базовые инструменты типа rpm, apt, control, alternatives и прочее этим дистром предоставляемые. Иначе это будет бесконечный ман к ls или find, а не решение.

>В отношение Альта - удивляюсь его пользователям, как в свое время удивлялся пользователям русской версии MS DOS.

Альт, как и pld или connectiva, это не вендор русских версий чего либо. Кто этого не понимает - обречен на пролет.

>Ребятки могли бы предложить качественную руссификацию нормальных дистрибутивов.

Альт создал питательную среду для появления и роста специалистов. В этом его главна заслуга. Качественная русификация? Перевод опенофисе и мозилле, переносы и проверка орфографии сделаны альтом. И все это есть теперь во всех дистрах.

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от AVL2

> Альт создал питательную среду для появления и роста специалистов.

Не специалистов, а обезьянок скорее всего. В чём отличие этих
"специалистов", от не АЛЬТ-ориентированных? И кого вы считаете
специалистами в терминологии Альт? Тех, кто получил сертификат на
их курсах?

annonymous ★★
()
Ответ на: комментарий от eda

2eda (*) (17.07.2004 8:59:20) respect

> Явно не хватает поддержки MAIL, SAMBA , RADIUS (VPN,dialup), mod_auth_ldap у Апача. Можно найти и эти рецепты и скрутить все скриптиками в нечто единое. Но это опять потребует большой трудоемкости.

А что делать? Работа такая. (Поэтому, с надеждой посматриваем на Novell :-) Но, как говориться, "на Бога надейся, а сам не плошай". Решения востребованы уже сейчас. И ждать их реализации от "гигантов мысли" -- дорогое удовольствие.

На всякий случай, напоминаю основной принцип: платят не за ПО, платят -- за решение, т.е. его "внедрение"/адаптацию, учитывающую специфику и особенности организации/.

> Если проект будет пытаться дотянуть до уровня среднего предприятия, то ,вероятно, моя писанина будет интересна.

Боюсь обидеть, но то, что Вы озвучили - как контекст, витает рядом и проявляется в любой попытке практической реализации более-менее серьёзной системы управления <...> и не является, по сути-дела открытием.

Однако, Вы это здесь озвучили... И за это Вам тоже -- спасибо. :)

> На выходе мы получили инструкцию как собрать кубик рубика, кто-то может подчерпнет рецепты, кто-то не много больше поймет в unix-овом стиле интеграции сервисов в сложную систему.

* в чём преимущество модульной системы?

В функциональной простоте компонентов, гибкости, живучести и отказоустойчивости.

Система наращивается по сложности и привязывается к конкретной, уникальной (или не очень :) структуре организации, учитывая её особенности и удовлетворяя её потребности. А посему, не может оказаться универсальной, В ПРИНЦИПЕ, из-за проблем масштабирования критериев. Однако, для КОНКРЕТНОЙ организации она становится оптимальной, удобной и само-собой разумеющейся.

Остается, как всегда, проблема выбора компонентов... :)

> Для уровня среднего и большего предприятия это решение натянуть трудно.

НО:

* в чём изъян единой, целостной, универсальной системы?

В сложности, неполноте использования/расходования средств/ и проблеме обеспечения живучести (т.е. реализации физического/территориального/ распределения компонентов и обеспечения надёжности и безопасности системы их взаимодействия, при возрастании сложности структуры).

По-сути, в итоге, приходим, опять-таки, к модульной структуре и системе взаимодействия её компоненотов, при неоправдано увеличенной сложности её компонентов и их специфики. :-|

Здесь принципы построения програмного обеспечения *nix-систем спасают логику и разум системных администраторов. :-)

--

А за пример ПРАКТИЧЕСКОЙ РЕАЛИЗАЦИИ системы интеграции компонентов, автору, Прокопьеву Евгению, -- несомненное и ГРОМАДНОЕ СПАСИБО.

P.S. Моё почтение.

:-)

Neksys ★★★
()
Ответ на: комментарий от annonymous

Тот, кто прошел курсы, это тот кто прошел курсы. Я курсы не проходил и понятия не имею, чему там учат. Вполне возможно, что там учат чему то хорошему...

Я не говорил, что альт способствует появлению альт-ориентированных специалистов. Специалист, это тот, кто разобрался в предмете своей специализации (лдап/цирусе/ядре/питоне/tk/zope/техе и т.д.).

D команде альта такие люди есть в весьма большой концентарции. Их советы я использую во всех дистрах, которые у меня есть.

ЗЫ

Естественно, специалисты есть и за пределами тусовки альта. Просто благодаря политике альта, в его тусовке концентрация спецов много, чем в окружающей среде.

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от anonymous

> Возможно. Это тем более опциональные плагины со своими зависимостями. > Нельзя все запихивать в одну оболочку. Монстр получится.

Необходимо обеспечить безопасный доступ во внутреннюю сеть из вне ? Да. Есть решения по интеграции Radius с LDAP ? Да. Что для этого нужно ? Реализовать схему в LDAP и прикрутить к ней мордучку управления. Легче не станет, но это до монстра далеко.

>>1) Предприятие уже имеет свою информационную структуру, в которой есть >> БД кадров со штатным расписанием, уровнями полномочий итд итп. Именно >> в существующей структуре заложено масса информации по ролям в >> различных системах авторизации.

>Эта база должна быть в ldap. Это часть процесса миграции. Какая-то часть - да, но не все. LDAP не может заменить БД, он выстроен по другому. Где проводить границу - это вопрос. Но в любом случае первоисточником будет существующая база. Если Вы засунете в LDAP организационную структуру, то пожалуйста. Но вы должны будете поддерживать целостность и синхронность с существующей БД. Это не так просто.

>>Кто выдает трафик, следит за использованием PROXY? >Ответственные работники. У них должны быть соответствующие >логины роли в административном интерфейсе. Тоесть еще одна система авторизации ? Чем не усративает его логин к LDAP ? У него просто еще одна роль и все ! А имеет он право менять или нет, уж пусть заботиться LDAP сервер. К сожалению openLDAP не умеет использовать собственную структуру для запоминание прав пользователя, acl задаються в конфигурационном файле, и это плохо.

Можно конечно обойти и это, но кривенько как-то.

Насчет WIKI - я не против, зарегистрировался, но ничего подобного не нашел.Логин там тот-же.

eda
()
Ответ на: комментарий от AVL2

А я, не сомневаясь в их квалификации, буду утверждать, что альт способствует появлению альт-ориентированных специалистов. Если одна и таже команда у интерпретации samba.org или openldap.org и ALT-а выглядит по-разному, пардон, верной ли дорогой идете, товарищи??????????????

anonymous
()
Ответ на: комментарий от eda

>Необходимо обеспечить безопасный доступ во внутреннюю сеть из вне ? Да. Есть решения по интеграции Radius с LDAP ? Да. Что для этого нужно ? Реализовать схему в LDAP и прикрутить к ней мордучку управления. Легче не станет, но это до монстра далеко.

Мордочка управления должна быть одна. С подгружаемыми оснастками конкретных сервисов.

Изначально имеем пустой скелет, который умеет авторизоваться в ldap, демонстрировать панель управления и стандартные диалоги, и грузить оснастки/плагины.

Добавляем оснастку - "адресная книга" и получаем возможность добавлять отделы и пользователей с их почтовыми адресами, телефонами итд, и юниксовой авторизацией.

Добавляем оснастку - "рабочие станции" и получаем возможность добавлять хосты с их базовыми сетевыми настройками.

Добавляем оснастку - "самба пользователь" и получаем дополнительную страничку со свойствами самба пользователя при добавлении юникс-пользователя и страничку со свойсвами самба-хоста при добавлении объекта-рабочей станции.

Добавляем оснастку - "доступ в интернет" и получаем соответствующие доп. свойства у пользователя.

И так далее.

Каждая осначтка имеет свои зависимости.

> Какая-то часть - да, но не все. LDAP не может заменить БД, он выстроен по другому.

БД, это backend ldap. Их нельзя сравнивать. ldap, это протокол доступа к БД. Нет никаких причин использовать прямой доступ к БД при наличии ldap, тем более, если ипользуется репликация в ldap.

> Но вы должны будете поддерживать целостность и синхронность с существующей БД

Это вопрос миграции. Нет нужды в двух базах.

>Тоесть еще одна система авторизации ? >Чем не усративает его логин к LDAP ?

Cистема авторизации одна. и это совсем не обязательно ldap. Скорее kerberos.

Но аутентифицируются не только пользователи, но и сервисы. И запрос на авторизацию посылает именно сервис.

Например, imap сервер аутентифицирует только тех пользователей, у которых к примеру стоит свойство "enable_email". Снял галку и нет у пользователя доступа к почте, поставил и почта есть.

Аналогично поступают и все остальные сервисы.

В конфиге ldap прописываются права доступа сервисов и базовые права пользователя типа разрешения менять свой пароль. И все.

>Насчет WIKI - я не против, зарегистрировался, но ничего подобного не нашел.Логин там тот-же.

Все, что будет на эту тему в вики заявлено здесь:

http://www.linux-os.ru/wiki/LinuxTechnology

У вас речь идет о постановка задачи, так что самое время добавлять странички. :)

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от anonymous

>А я, не сомневаясь в их квалификации, буду утверждать, что альт способствует появлению альт-ориентированных специалистов.

Уже неплохо, что в квалификации сомнений нет. Мне по настоящему обидно, когда хороших и умных ребят из *@altlinux.ru за глаза и с неизбежным "плевком в колодец" обвиняют в некомпетентности.

А вообще, когда вы смотрите футбол в баре, где вы заказываете пиво? Естественно, тусовка альт способствует распостранению дистров альта, но это побочный эффект. Насильно никто никого за уши не тянет.

>Если одна и таже команда у интерпретации samba.org или openldap.org и ALT-а выглядит по-разному, пардон, верной ли дорогой идете, товарищи??????????????

Отчасти это обратная сторона активного девелопмента. Отчасти упрек справедливый. Я тоже считаю, что в альте слишком много _надуманой_ специфики и откровенных подстав. Зрелости не хватает.

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от anonymous

> Ребятки, рано радоваться! Этот опыт не пригодится ровным счетом никому (если не учитывать небольшой процент пользователей ALT). Что указаный дистрибутив, что мандрака настолько кривы, что обращать внимание на документацию для них пользователям других дистрибутивов - глупая трата времени. Поверьте несчастному, когда пытался настраивать на Федоре и Сусе самбу и лдап согласно официальной документации к альту - только потратил два дня драгоценного времени.

...

> Ребятки могли бы предложить качественную руссификацию нормальных дистрибутивов, вместо этого занимаются хуйней.

Да... Обязательно нужно следовать ценным указаниям "специалиста" который два дня ковырялся не зная в чем не понятно по какой доке, а теперь всех учит как жить дальше.

Вообще-то если надо настроить SAMBA читают доку по самбе, а не по SuSE, RedHat, ALT и т.п. Если есть готовый рецепт для твоего дистрибутива - то можно им и воспользоваться, а пытаться вбить от чужого просто тупо.

MrKooll ★★★
()
Ответ на: комментарий от eda

>Какой UID должен иметь пользователь в UNIX системах? Вполне естественно что UID его должен однозначно соотноситься с его цифровым пожизненным идентификатором в БД кадров ( вероятно лучше прибавить 10^6, что бы не было конфликтов с системными uid-ами ). И также логин пользователя один, на всех системах. Пароль - вопрос личной гигиены.

Я, конечно, статью читал мельком, отвлекаясь больше на приведенные примеры конфигурации, но зачем в этой системе пользователю иметь UID?

jackill ★★★★★
()
Ответ на: комментарий от anonymous

>Ребятки, рано радоваться! Этот опыт не пригодится ровным счетом никому (если не учитывать небольшой процент пользователей ALT). Что указаный дистрибутив, что мандрака настолько кривы, что обращать внимание на документацию для них пользователям других дистрибутивов - глупая трата времени.

А какая разница, какой дистрибутив? Я тебе могу абсолютно точно сказать, что поднять эту же систему на моей любимой Федоре не составит особых трудов. Главное посмотреть, нет ли какой дополнительной функциональности у пакетов альта и если она нужна, взять соответствующие патчи из их srpm и воткнуть себе. Делов на час максимум (со скачкой и обтесыванием).

>Поверьте несчастному, когда пытался настраивать на Федоре и Сусе самбу и лдап согласно официальной документации к альту - только потратил два дня драгоценного времени. Сусе в этом отношении более продвинута, но и Федор 2 удалось нормально настроить после некоторых поисков документации и инете.

Ты что с ней делал? Там по подсказкам в файле конфигурации все настроить можно. Проблема с несчастным русским в шарах описана даже у нас в faq. Кто-то не умеет искать информацию. Или читать.

>В отношение Альта - удивляюсь его пользователям, как в свое время удивлялся пользователям русской версии MS DOS. Ребятки могли бы предложить качественную руссификацию нормальных дистрибутивов, вместо этого занимаются хуйней.

...вроде мозиллы, ООо и проблемой безопасности системы. Не могу сказать, что их образ мысли в этом направлении мне нравится, но здравых вещей у них полно.

P.S. Дистрибутив ALT я не люблю.

jackill ★★★★★
()
Ответ на: комментарий от annonymous

>Не специалистов, а обезьянок скорее всего. В чём отличие этих "специалистов", от не АЛЬТ-ориентированных? И кого вы считаете специалистами в терминологии Альт? Тех, кто получил сертификат на их курсах?

А где слова про АЛЬТ-ориентированных?

jackill ★★★★★
()
Ответ на: комментарий от jackill

В том то и дело, что не ползал по поверхности, а реализовал возможности которые описаны в sambadoc.pdf, например, (пардон за неточность, но в примерной конфигурации их не приводят) предварительно решив почитать об этом в официальной документации АЛЬТ, что надо было делать с дистрибутивом, чтобы основные заклинания конфигурации пакета надо было выговаривать по иному. То же и с ldap!

anonymous
()
Ответ на: комментарий от MrKooll

С этого и я начинал. Нефиг писать кривые доки к кривым дистрибутивам подобно этой или /docs/altlinux/master22_u/index.html, если пользователям других дистрибутивов она нафиг ненужна. Или помещать их на своей тусовке с предупреждением, что более никому она не пригодится. А шары руссифицировать - это самое примитивное, что нужно настроить в самбе, но, похоже некоторые дальше этого хрен пошли...

anonymous
()

да , нехилая статейка , Автор мужик.

anonymous
()
Ответ на: комментарий от anonymous

Мне сложно тебя понять. Я не читаю доки к дистрибутивам - в случае проблем я беру гугл и нахожу нужные доки. Бывают устаревшие, но берется man и по этим докам с поправками выстраивается то, что нужно.

jackill ★★★★★
()
Ответ на: комментарий от jackill

> А где слова про АЛЬТ-ориентированных?

А вот здесь:
"Альт создал питательную среду для появления и роста специалистов."

Если Альт создал питательную среду для появления и роста
не Альт-ориентированных специалистов, тогда извиняюсь ;)

Но только в этом случае желательно раскрыть темку, и написать эссе о
роли Альт в появлении и росте [неких] специалистов [каких?].

annonymous ★★
()

Замечательная статья, которая, должна по хорошему, вылиться в целую книгу. Потому что решение, которое предложил автор единично для каждого конкретного примера сети и задачи и статья не может раскрыть всех аспектов. Что хочется сказать - побольше бы таких статей!

stark_lnx
()
Ответ на: комментарий от anonymous

>что надо было делать с дистрибутивом, чтобы основные заклинания конфигурации пакета надо было выговаривать по иному. То же и с ldap!

Еще раз убеждаюсь - чем безапеляционней мнение, тем оно глупее.

Ничего не надо было делать с дитсрибутивом. Только собрать более свежую версию самбы. Все изменения в названиях и смысле параметров ldap были внесены командой samba.org в собственный cvs. В команде альтлинукса и команде samba.org, есть пересечения по составу, так что удивляться быстрому прохождению сборок с самбы в дистрибутивы не приходится.

anonymous
()

подскажите плиз: в какой момент запускается /opt/scripts/translate_ulog.pl если я правильно понимаю - /etc/logrotate.d/ulog-acctd полько копирует логи. Или нет?

заранее спасибо.

anonymous
()

Подскажите, как в LDAP создать списки рассылки.
Mozilla рассылку находит, но e-mail пустые.
Использовал groupOfNames.
Под Win какие клиенты использовать вместо адресной книги?

WinLin
()
Ответ на: комментарий от anonymous

>Еще раз убеждаюсь - чем безапеляционней мнение, тем оно глупее.

>Ничего не надо было делать с дитсрибутивом. Только собрать более >свежую версию самбы. Все изменения в названиях и смысле параметров >ldap были внесены командой samba.org в собственный cvs. В команде >альтлинукса и команде samba.org, есть пересечения по составу, так что >удивляться быстрому прохождению сборок с самбы в дистрибутивы не >приходится.

Ребятки, хватит заниматься саморекламой и обсиралово несогласных с вашей гениальностью. Я и говорил, что вашей документации и вашим статьям грош цена, если после их чтения следует начхать на прочтенное и рыть документацию в другом месте, либо ваш дистрибутив настолько кривой, что написаное в этих доках проходит.

Вот отрывок из вашей доки по Samba 3:

" Второй метод&#8212; автоматический:

Работу со созданию машинного аккаунта можно переложить на Samba, включив в smb.conf следующую запись:

[global]

add user script = /usr/sbin/useradd -d /dev/null -g machines -s /bin/false -M %u

Теперь Samba будет принимать от клиентских машин запросы на включение в домен и автоматически регистрировать их аналогично NT Server. "

Берем Samba-HOWTO-Collection, читаем: 30.4.2. Changes in Behavior The following issues are known changes in behavior between Samba-2.2 and Samba-3 that may affect certain installations of Samba. 1. When operating as a member of a Windows domain, Samba-2.2 would map any users authenticated by the remote DC to the &#8220;guest account&#8221; if a uid could not be obtained via the getpwnam() call. Samba-3 rejects the connection as NT STATUS LOGON FAILURE. There is no current work around to re-establish the Samba-2.2 behavior. 2. When adding machines to a Samba-2.2 controlled domain, the &#8220;add user script&#8221; was used to create the UNIX identity of the Machine Trust Account. Samba-3 introduces a new &#8220;add machine script&#8221; that must be specified for this purpose. Samba-3 will not fall back to using the &#8220;add user script&#8221; in the absence of an &#8220;add machine script&#8221;.

И так дальше по самбе, точно такая-же херня - весь ваш раздел "Объединённая служба каталога (LDAP)" и последняя публикация, по которой хрен что заработает на другом дистрибутиве, на вашем не пробовал и пробовать не желаю. Если скажете, что правка ldap.conf - само собой разумеющееся для специалиста вашего класса, поэтому в статье об этом не упоминается, или иди ищи, про это много написано в google - еще раз повторю идите вместе с вашими сраными статьями в задницу и не морочьте головы людям. Лучше не тратить время на их написание и рекламирование.

anonymous
()
Ответ на: комментарий от anonymous

Еще раз для идиотов.

Такие моменты, как маппинг груп, работа с машнными аккаунтами, лдап и т.д. в майнстриме самбы постоянно меняются.

Сейчас, к примеру, создание машинных аккаунтов - прерогатива winbind, а все костыли со скриптами и useradd уже безнадежно устарели.

Доки надо использовать по назначению, с теми версиями софта, к которым они писались, а не прикладывать абы как с воспаленной фантазией...

AVL2 ★★★★★
() автор топика

Зачем использовать старый openldap-2.0.27 (протокол LdapV2) ??
Изначально поднимать с поддержкой SSL очень просто.
Авторизация с последней nss_ldap работает без pam_ldap.
Использовать аттрибут dhcpStatements для DHCP ?? Когда для большей части настроек есть собственные атрибуты по умолчанию! (т.е. разбираться влом)
Я так понял большую часть мыслей содрали с других статей, без уведомления авторов?
Ничего личного ;)
P.S. Вклад конечно сделан огромный..

anonymous
()
Ответ на: комментарий от AVL2

> периодический перегруз ftp

Mozilla показывает картинки только по "View Image". При этом в самом документе их все-равно не видно. Может их на http лучше выложить?

anonymous
()
Ответ на: комментарий от anonymous

> add user script = /usr/sbin/useradd -d /dev/null -g machines -s /bin/false -M %u

Это вариант не самый лучший. Samba прекрастно интегрируется с LDAP. Так зачем изобретать велосипед, если поднят LDAP сервер?

edwin
()
Ответ на: комментарий от edwin

>Это вариант не самый лучший. 
Какой лучший?
Интегрируется хорошо, но все равно сама создать структуру не может.
В минимуме необходим posixAccount, которую надо создавать
либо ручками либо скриптом.

SandySandy
()
Ответ на: комментарий от AVL2

>Еще раз для идиотов. >Такие моменты, как маппинг груп, работа с машнными аккаунтами, лдап >и т.д. в майнстриме самбы постоянно меняются.

>Сейчас, к примеру, создание машинных аккаунтов - прерогатива winbind, а все костыли со скриптами и useradd уже безнадежно устарели.

>Доки надо использовать по назначению, с теми версиями софта, к >которым они писались, а не прикладывать абы как с воспаленной фантазией...

ЕЩЕ РАЗ ДЛЯ ИДИОТОВ ИЗ АЛЬТА!!!!!!!!!!!!!!!!!! НЕХРЕН ВЫХВАТЫВАТЬ КУСКИ ДОКУМЕНТАЦИИ ИЗ РАЗНЫХ ИСТОЧНИКОВ И ВЫДАВАТЬ ИХ ЗА ЛИЧНЫЕ ДОСТИЖЕНИЯ. Я СИЛЬНО СОМНЕВАЮСЬ, ЧТО У ВАС ХОТЬ ЧТО-ТО ИЗ ЭТОГО РАБОТАЕТ, Т.К. ВЫ СОВЕРШЕННО НЕ ЗНАКОМЫ С ПРОЦЕДУРОЙ НАСТРОЙКИ ПРОГРАММНЫХ ПРОДУКТОВ О КОТОРЫХ ВЕДЕТЕ РЕЧЬ!!!! ТЕПЕРЬ УЖЕ СКАЖУ, ЧТО СИЛЬНО СОМНЕВАЮСЬ В ВАШЕЙ КВАЛИФИКАЦИИ!

ЦИТАТА ИЗ ОБСУЖДЕНИЯ: --------------------- "Зачем использовать старый openldap-2.0.27 (протокол LdapV2) ?? Изначально поднимать с поддержкой SSL очень просто. Я так понял большую часть мыслей содрали с других статей, без уведомления авторов? Ничего личного ;) P.S. Вклад конечно сделан огромный.."

СОВЕРШЕННО СОГЛАСЕН!!!!

anonymous
()

Здорово и очень полезно. Надо бы изучить подробно.

inik ★★★
()
Ответ на: комментарий от anonymous

>Зачем использовать старый openldap-2.0.27 (протокол LdapV2) ??

Решение на основе мастер 2.2. И софт из него же.

>Авторизация с последней nss_ldap работает без pam_ldap.

аналогично.

>Я так понял большую часть мыслей содрали с других статей, без уведомления авторов?

глупость.

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от AVL2

>глупость. 
Хм.. так на вскидку (дата апрель 2003)
http://www.opennet.ru/docs/RUS/ldap_integr/
Это я думаю первоисточник, так DHCP один в другой ))))
Это я к тому что решение с dhcpStatements давно уже устарело, 
и в схеме есть стандартные аттрибуты.
И естественно если бы вникли с мыслями то построили бы свой вариант.

anonymous
()
Ответ на: комментарий от annonymous

Linux-специалистов. Обычно, если видел один linux, значит видел добрую их половину.

Разобраться в любом дистрибе, зная хорошо хотя бы один, несложно.

jackill ★★★★★
()
Ответ на: комментарий от anonymous

Шел бы ты сам в задницу - не можешь повторить на другом дистрибутиве готовое решение, значит не админ, а лох.

jackill ★★★★★
()
Ответ на: комментарий от anonymous

Это вообще-то логично, выстраивая решение, читать стороннюю документацию и в случае успеха брать описания оттуда и подгонять под свою статью.

В конце обычно указывается, какие документы использовались.

jackill ★★★★★
()

Д_о_р_о_г_а_я Р_е_д_а_к_ц_и_я

По поводу всего флейма на этой ветке хочется рассказать мой любимый АНЕКДОТ.

Некто написал условие задачи и полжил его на стол - стаои подходить разные люди к столу и смотреть листочек с условием.

Студент: Сел за стол , достал бумажку ручку и принялся решать Математик: Достал карандашик и со словами - так это мы приведём к общему виду - так - это сюда - это сюда - вывел формулу. После чего сказал : ну а цифры пускай сами подставляют

Програмист - подошёл к столу -посмотрел условие и со словами - Ну это я могу - положил листок обратно .

DIXI.

pan-nikola
()
Ответ на: комментарий от AVL2

> На мой взгляд, IT, это аналог автомобилестроения. ... вбухиваются громадные средства и на них вытягиваются целые отрасли, никакого отношения к счетам не имеющие.

Какие к примеру ? Сдается мне, ты сильно переоцениваешь вклад IT в экономику. Впрочем, в эпоху доткомов у тебя было не мало единомышленников ;-)))) Реально же вклад этой сферы в _ПРОИЗВОДСТВО_ достаточно ограничен. В основном она, как бухгалтерия, армия, полиция или финансовые рынки относится к сфере _РАСПРЕДЕЛЕНИЯ_.

> А поскольку основа ИТ, это "завтраки" ("Купите сегодня у нас недоделок типа мсдос, а ЗАВТРА выйдут сервис-паки, патчи, новые версии етк и все буде шоколадно"), то потеря веры заказчика в светлое будущее означает коллапс всей отрасли.

Хм. Вроде как наоборот - все хором поют "Нет-нет-нет-нет, мы хотим сегодня ! Нет-нет-нет-нет, мы хотим сейчас!" ;-)))))

> Так что если считать сизиф не ошибкой, а решением, то прогноз спроса на такие решения прощрачен. Его просто не будет.

Странное у тебя понимание сизифа. Ведь сизиф - это светлое сейчас + еще более светлое будущее. Мечта любого it-manager'a...

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

> на, как бухгалтерия, армия,

Какая связь между бухгалтерией и армией, скажите на милость?

> сизиф - это светлое сейчас + еще более светлое будущее. Мечта любого it-manager'a...

Что, неужели блюдечко? С голубой каёмочкой? Дык эта мечта по-другому
называется ;)

annonymous ★★
()
Ответ на: комментарий от AVL2

Нет Лёш, он ошибся. Сизиф --- это дерево разработки. Из которого делаются решения. И это даже не инсайдерская, а вполне открытая информация :)

AP ★★★★★
()
Ответ на: комментарий от AP

йобаные флеймоделы.

приходится всю эту хрень с разборками по терминологии просматривать, чтобы найти пару-тройку комментов. ЛамерОК и все, кто с этим придурком спорил - шли бы в пешее эротическое.

anonymous
()
Ответ на: йобаные флеймоделы. от anonymous

Господи какие все решения-то левые там прикрутить там подкрутить с этим работает с тем не работает с этим дистром да с тем нет . и половину из задач тривиальных не поддерживает. бли--ь и после этого кто то кричит о полноценных и стандартизированных решениях на линукс . Ну одна надежда на новелл может доведет до ума. ни одна серьезная фирма на такие ..стандартные.. решния не пойдет . нет толком ни решения не документации ни обкатаных и опробованых решении. для неболшой конторки до 100 юзеров может быть. хотя я при колл больше 50 пооветовал бы подумать.

anonymous
()
Ответ на: комментарий от anonymous

>после этого кто то кричит о полноценных и стандартизированных решениях на >линукс
Полностью согласен.
Посмотрел Gentoo, в одном только apache 8 конфигов! Пилят!!
А уже молчу про другие сервисы..
Как можно говорит о стандартах?

SandySandy
()
Ответ на: комментарий от AVL2

> Мордочка управления должна быть одна. С подгружаемыми оснастками конкретных сервисов.

>Изначально имеем пустой скелет, который умеет авторизоваться в ldap, демонстрировать панель управления и стандартные диалоги, и грузить оснастки/плагины.

>Добавляем оснастку - "адресная книга" и получаем возможность добавлять отделы и пользователей с их почтовыми адресами, телефонами итд, и юниксовой авторизацией.

>Добавляем оснастку - "рабочие станции" и получаем возможность добавлять хосты с их базовыми сетевыми настройками.

>Добавляем оснастку - "самба пользователь" и получаем дополнительную страничку со свойствами самба пользователя при добавлении юникс-пользователя и страничку со свойсвами самба-хоста при добавлении объекта-рабочей станции.

> Добавляем оснастку - "доступ в интернет" и получаем соответствующие доп. свойства у пользователя.

> И так далее.

Если кого СЕРЬЕЗНО интересует эта тема (как меня) в направлении реально реализовать подобное решение, а не просто языком почесать, рекомендую заглянуть на http://gosa.gonicus.de (Кто ищет, тот всегда найдет, настоящий админ существо ленивое, и перед тем, как что-то делать самому, основательно поищет готовое %))

Немцы реализовали IMHO самое сложное - структуру мордашки, описанной выше AVL (и, кстати. правильно описанной). Причем реализовали красиво как снаружи, так и внутри. Даже кто-то из наших уже постарался и в последней версии перевел (на 99%) на русский. Разумеется, есть некоторые вещи, которые мне не нравятся, но, как поется, "все в твоих руках" %)))

Сейчас я активно расковыриваю внутренности с целью прикрутить соответствующие сервисы к LDAP. В общем для этого проекта к полноценному решению всего ничего осталось....

PAL
()
Ответ на: комментарий от SandySandy

> Посмотрел Gentoo, в одном только apache 8 конфигов!

Нет, это не зеркало (Gentoo), это рожа (apache) крива ;)
Просто не пользуйте кривой софт. Дистрописатели дали вам выбор и большой. Они сделали всё, чтобы вы комфортно могли работать даже с
очень кривым софтом, если он вам позарез необходим. Но, увы!
Выше головы не прыгнешь. Какашку можно обернуть в красивый фантик
(это про 8 конфигов), но нельзя полностью избавиться от запаха при
разворачивании этих фантиков ;)

annonymous ★★
()
Ответ на: комментарий от PAL

точнее будет https://gosa.gonicus.de

>Даже кто-то из наших уже постарался и в последней версии перевел (на 99%) на русский.

Кстати, мир тесен. Этот кто то - Игорь Муратов, работает в altlinux. :)

Да. Хоть и php но надо признать, что выглядит совсем неплохо.

AVL2 ★★★★★
() автор топика
Ответ на: комментарий от AVL2

>точнее будет https://gosa.gonicus.de

>Даже кто-то из наших уже постарался и в последней версии перевел (на 99%) на русский. Начал смотреть этого зверя, так он dovecot в качестве imap не воспринимает, что-ли...

anonymous
()
Ответ на: комментарий от anonymous

Он под cyrus заточен. Но если надо чего другое - PHP в руки, там все модульное %) Лишь бы это другое с LDAP работало

PAL
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.