*запуская VB интересно, на сколько сложная штука) и сколько бубнов надо

Все там прекрасно работает...при некотором усилии можно и ексченчь вставить...и винды 2008 как секондари ставятся и мигрировать проще простого - ставишь и добавляешь ролей...потом убираешь винды, клиенты даже не заиечают...

У m$ задача была — спиздить хорошие идеи (ldap, kerberos) и сделать свои кривые реализации, что бы vendor locking навязывать всем и вся. Вот зачем по этому пути пошли самбисты, не понятно... Видать будут и дальше m$ помогать навязывать их vendor locking. Видать в этом и заключалась помощь m$ — сделать из замечательного проекта неюзабельное, глючное говно. Да я прочитал всю переписку самбистов о решении выпилить ldap backend, внятного объяснения почему они это сделали я не нашёл. Зато нашёл подтверждение факта невладения ключевыми разрабами предметной областью: камент про отсутствие динамического обновления схем в лдапе(возражение на то, что это пиздёж, осталось неотвеченным); камент про отсутсвие транзакции; про отсутсвие репрликации... ввообщем перлов там много. В-общем, настоятельно советую забыть всем про существование такого проекта как samba4, он умер.

Видать будут и дальше m$ помогать навязывать их vendor locking

Они будут помогать людям избавится от vendor locking. Половина windows server полетят в топку (вместе с клиентскими лицензиями), как только AD можно будет пользоваться без ms.

Зато нашёл подтверждение факта невладения ключевыми разрабами предметной областью

Ну дык конечно - специалист-анонимус с ЛОРа, проектант высшей категории, сеньор девелопер минимум 20 OSS проектов с объемом кода в миллионы строк, ключевой диванный аналитик вещает, что samba4 не нужна.

Мы все поняли, не тупые, нам повторять не нужно.

Вся соль в «помощи» Микрософт любым открытым проектам заключается именно в таком вот подходе. Не надо ждать какого-то чуда или честной игры от транснационального монстра манагеров и пропихивателей.

Половина windows server полетят в топку (вместе с клиентскими лицензиями), как только AD можно будет пользоваться без ms.

Ну так и пользуйся, кто не дает? И почему только половина?

Ну так и пользуйся, кто не дает?

Буду пользоваться.

И почему только половина?

Потому что другая половина, это всякие Sharepoint Portal'ы, Microsoft Exchange'и и прочие серверы приложений 1C.

Потому что другая половина, это всякие Sharepoint Portal'ы, Microsoft Exchange'и и прочие серверы приложений 1C.

Насчет первых двух возможно Samba4 и будет востребована (хотя все это - отмирающие технологии и будущее точно не за ними), а вот упоминание 1С тут явно не в тему (если говорить про 1С7.7 - 1С8.2, а не про игрушки 1С). :)

а вот упоминание 1С тут явно не в тему

Если вы все так хорошо знаете, то зачем спрашивать? O_o

Если вы все так хорошо знаете, то зачем спрашивать? O_o

Извиняюсь, больше не буду. Мир, дружба, жвачка! :))

Fedora опять зажгла не подеццки!

MIT Kerberos 5 Support =======================

Fedora is using MIT Kerberos implementation as its Kerberos infrastructure of choice. Samba 4 build in Fedora is using MIT Kerberos implementation in order to allow system-wide interoperability between both desktop and server applications running on the same machine.

At the moment Samba 4 Active Directory Domain Controller implementation is not available with MIT Kereberos. FreeIPA and Samba Team members are currently working on Samba 4 MIT Kerberos support as this is a requirement for a GNU/Linux distribution integration of Samba 4 AD DC features.

We have just finished migrating the file server and all client utilities to MIT Kerberos. The result of this work is available in samba4-* packages in Fedora. We'll provide Samba 4 AD DC functionality as soon as its support of MIT Kerberos KDC will be ready.

In case of further questions do not hesitate to send your inquiries to samba4-owner@fedoraproject.org

И все, /usr/sbin/samba теперь отсутствует вообще.

MIT Kerberos 5 Support

Ну так круто же. Самбу4 допилят тогда когда она будет вязаться с ИПА. Т.е. не нужно будет синхронизировать Самба4-свой-лдап и ИПА.

Ну так круто же. Самбу4 допилят тогда когда она будет вязаться с ИПА. Т.е. не нужно будет синхронизировать Самба4-свой-лдап и ИПА.

ну так взяли и поломали пакет. Какой смысл в самбе, в которой нет, собственно, самбы?

Какие ещё клиентские лицензии? Может лицензия на серверную винду?

Буга-га

http://blogs.technet.com/b/oemlic/archive/2009/07/01/windows-server-4.aspx

Чтоб комп в домен ввести нужна доп. лицензия? Вы точно ничего не путаете?

95% контор полностью наплевать на какие-то стандарты. Им не нужна интеграция всего и вся, им нужно чтобы компы в домен заходили.

Я конечно извиняюсь, но 95% контор нахер не нужен домен как таковой.

И товарищ выше был прав, утверждая, что самба без чистого ldap-бакэнда тоже не нужна, поскольку способствует распространению этой гадости. Или вы всерьёз думаете, что разработчики самбы способны перехватить вектор развития у мелкософта?

100500% нужна лицензия для подключения ПК к домену. Другой вопрос, что это объезжается легко, но по факту МС хочет за это денюжков.

Если Samba4 заработает стабильно - Вендекопец! Во всяком случае я соглашусь, что в небольших организациях и среднем бизнесе в топку пойдет очень много окон.

Если еще под это дело появятся гуевые консоли для хомячков, то.....

Чтоб комп в домен ввести нужна доп. лицензия? Вы точно ничего не путаете?

Вы ссылку читали? Нет? Там черным по белому написано.

Линупсоиды блин, только кричать умеют, что что-то не нужно, а разбираться в предмете не умеют.

Или вы всерьёз думаете, что разработчики самбы способны перехватить вектор развития у мелкософта?

Вы всерьез думаете, что у разработчиков samba когда-нибудь стояла такая цель?

О, нет, им бы догнать сначала. Но тогда мы ещё больше попадаем в зависимость от стека мелкософта.

Но тогда мы ещё больше попадаем в зависимость от стека мелкософта.

Не MS стек никому не нужен -> samba нужна только в гетерогенной сети, и клиентами её будут ОС со стеком MS.

Ага, у меня сейчас коллега в конторе насаждает ровно такую схему («аккаунт vpupkin для домена», «аккаунт pupkin-va для почты» ) чуть не дословно.

Не MS стек никому не нужен.

MS-only стек не нужен ещё больше.

MS-only стек не нужен ещё больше.

Нужен он тебе лично или нет - у тебя бизнес спрашивать не будет. Уже потрачено N денег на клиентские компы с ОС, на проф. приложения win32. Тут пришел анонимус и сказал, что это не нужно, что это надо выкинуть, а работать надо на калькуляторах. Там MS стека нет.

Как бизнес скажет, так и будет. Сможешь profit в реальных $$ показать при отказе от MS - хорошо. Нет - пшёл отсюда со своими «предложениями».

ага

Бизнес сказал MS в 2005 году. Нету аналогичной возможностям 2k8r2 самбы. О чем вообще разговор? Если внимательно читать саму новость - то видно, что обещается максимум допконтроллер в домен, подпорка. Все равно первый контроллер в виндовом домене на винде, сцуко. Об чем холевар на три страницы?

Если внимательно читать саму новость

Еще раз перечитайте. Внимательно.

ага

Перечитал. И?

О чем вообще разговор? Если внимательно читать саму новость - то видно, что обещается максимум допконтроллер в домен, подпорка. Все равно первый контроллер в виндовом домене на винде, сцуко. Об чем холевар на три страницы?

бредовенько.

Перечитал. И?

Плохо прочитал. Samba4 м.б. самостоятельным AD, а может и в составе AD windows.

Ага, у меня сейчас коллега в конторе насаждает ровно такую схему («аккаунт vpupkin для домена», «аккаунт pupkin-va для почты» )

Передай ему от меня лично хорошего яду с ядрёным напалмом. Задолбали уже такие «практики», честное слово. Мне кажется, у таких практиков одна цель профессиональной деятельности - пораньше свалить до хаты, поэтому нужно как можно скорее и как можно больше делать то, что говорит начальство, а думалку выключать, чтоб она палки в колёса не вставляла по пути в родные пенаты. Брр...

Если Samba4 заработает стабильно

Этого не случится, ибо разрабы неадекватны. Они 4 года пилили велосипеды, вместо того, что бы заюзать стабильные, хорошо отлаженные сервисы, а теперь ещё 4 года будут пытаться их хоть как-то стабилизировать. Вон у мс с их толпами индусов это нифига не получилось, а у этих и ресурсов-то нет таких.

Передай ему от меня лично хорошего яду с ядрёным напалмом. Задолбали уже такие «практики», честное слово. Мне кажется, у таких практиков одна цель

А что если у конторы три домена, big-corp.net big-corp.ru и big-corp.com

Для пупкина нужно, чтобы поста была во всех трех доменах, а для иванова, только в @big-corp.ru ну и так далее?

ля пупкина нужно, чтобы поста была во всех трех доменах, а для иванова, только в @big-corp.ru ну и так далее?

У пупкина 1 uid и 3 alias'а, а у иванова 1 uid и 1 alias.

У пупкина 1 uid и 3 alias'а, а у иванова 1 uid и 1 alias.

Не факт. они хотят разные ящики для входящих в imap.

И да, пупкин сотрудник big-company (с доступом к другим ресурсам), а Иванов приглашеный специалист, который просто пишет с ящика в @big-company.ru.

Не факт. они хотят разные ящики для входящих в imap.

сортировка на сервере положит входящие в разные папки

И да, пупкин сотрудник big-company (с доступом к другим ресурсам), а Иванов приглашеный специалист

Набор objectclass'ов и полей определит, к каким сервисам можно пупкину, а каким иванову.

сортировка на сервере положит входящие в разные папки

угу, еще и sieve на входящие нагрузим, будем их вручную прописывать и сопровождать. И исходящие на клиентах бегать настривать.

Набор objectclass'ов и полей определит, к каким сервисам можно пупкину, а каким иванову.

Угушеньки, устроим свалку из юзеров и не-юзеров, придумаем себе работу на сто лет вперед, чтобы только какой-нибудь ананимус на лоре порадовался и подрочил на стройную структуру жирных гирлянд объектов в едином дереве.

будем их вручную прописывать и сопровождать.

Их сопровождать не надо - дефолтовый скрипт пишется 1 раз и применяется ко всем пользователям.

И исходящие на клиентах бегать настривать.

А 10 ящиков per user настраивать кто будет?

Угушеньки, устроим свалку из юзеров и не-юзеров

Свалка из юзеров и не-юзеров, это по 10 аккаунтов на пользователя размазанных по всему дереву. Если я вижу аккаунт - значит пользователь есть. Я глядя на 1 аккаунт сразу точно знаю, к каким сервисам (а их десятки) есть доступ. Я блокируя 1 аккаунт точно знаю, что больше никакого доступа никуда и нигде нет.


Вам надо 10 паспортов выдать, чтобы в метро предъявляли 1, на улице другой, при входе на охраняемую терроторию 3й и т.д.

Хотя бы тысяча пользователей и предоставляемых на них сервисов штук 30-50, ты внезапно узнаешь последствия своих решений и перестанешь лишний раз вопить.

И да, 1 пароль на все сервисы, меняется в одном месте. Самим пользователем, там, так и тогда, когда ему удобно.

Их сопровождать не надо - дефолтовый скрипт пишется 1 раз и применяется ко всем пользователям.

да конечно. дефолтным не получится. У кого-то одна стандартная папка входящие, а у кого-то три.

Извернуться можно, но это в любом случае изврат.

А 10 ящиков per user настраивать кто будет?

Ну если у него реально десять ящиков? Их один раз завел и готово.

Свалка из юзеров и не-юзеров, это по 10 аккаунтов на пользователя размазанных по всему дереву. Если я вижу аккаунт - значит пользователь есть.

ага, но в АД предприятия его нет, то есть быть не должно, поскольку он не сотрудник.

Хотя бы тысяча пользователей и предоставляемых на них сервисов штук 30-50, ты внезапно узнаешь последствия своих решений и перестанешь лишний раз вопить.

Все идет от задачи. Если множество пользователей и однотипные ситуации, то да, централизованное дерево с одной учеткой и кучей атрибутов выглядит лучше.

А если пользователей мало, зато нужно гибкость что песец, то все наоборот.

И да, 1 пароль на все сервисы, меняется в одном месте. Самим пользователем, там, так и тогда, когда ему удобно.

и нет, потому что потеряв свой парол от портала или почты на обычном снифере в макдональдсе, наш дорогой юзер сольет и свой удаленный доступ в сетку и свой вход на сервера и свой десктоп и все остальные 100500 сервисов.

В общем Вы правы, что на каждый сервис нужен свой пароль, но в реальности пользователи поставят один и тот же. Будете техническими мерами навязывать им разные, будут записывать и отставлять бумажку на рабочем столе. Лучше зарубить доступ извне совсем. А если очень нужно то по отдельной учеткой с очень ограниченными правами.

Все идет от задачи!

Нет серебряной пули. Я вот пришел уже к полному осознанию, что в ldap нельзя, да и не нужно хранить первичную базу данных на сервисы и пользователей. И по причине (относительной) ущербности LDAP и по причине ущербности самой идеи использования одной и той же БД и для ведения этих данных и для их использования в отдельно взятых сервисах типа AD, ftp, sip, адресная книга, dhcp ит.д.

Очевидно, что в одной программе нельзя учесть все столь разные требования к легкости, надежности, функциональности и производительности. И столь же очевидно, что взлом такой базы - дело времени и только.

Нужна база для ведения данных. Гибкая, функциональная, с доступом по всем анализам всех жидкостей человека, шифрацией и резервированием данных шопесец.

И система репликации отедьно взятых полей в базы сервисов. В том числе, в ldap, в том числе, в разные ветки и с дублированием всего и вся. Но чтобы в базе сервиса было только то, что ему нужно и было в полном объеме на локалхосте.

Поработаешь лет 5-10 хотя бы в средних размеров компании - приходи, поговорим еще раз.

Поработаешь лет 5-10 хотя бы в средних размеров компании - приходи, поговорим еще раз.

да уже. можно приходить?

да уже. можно приходить?

Управляешь учетками пользователей? Сколько их?

админ локалхоста?

Какие ещё клиентские лицензии? Может лицензия на серверную винду?

To legally access this server software, a Client Access License (CAL) may be required.

Тут мы подходим к самому интересному: к тому, что вообще LDAP к доменам не имеет ни малейшего отношения. DNS-запись хоста dc=host,dc=domain,dc=com - это не только нормально, это, вообще говоря, и единственно верно. А вот насчёт pupkin'а... Если его куда-то и нужно поместить, то в структуру организации, а не в домен: в cn=Engineers,ou=Staff,o=RogaKopyta,l=Moscow,c=RU а не в: cn=Engineers,ou=Staff,dc=roga-kopyta,dc=com В домене человеку делать действительно нечего, коль скоро он не часть логической структуры домена. И да, поиск ведётся начиная с _произвольной_ базы и по _атрибутам_, ни одна вменяемая программа не требует какой бы то ни было чётко определённой структуры DN (Zimbra хоть и требует, но она и считает, что это типа её личный каталог, поэтому-де кому не нравится - пусть всё сами руками ставят и настраивают). И уж если есть какая-то мощная необходимость запихать почтовый аккаунт (НЕ пользователя) в домен, то в записи такого объекта не должно быть атрибутов, дублирующих информацию о человеке. На информацию о человеке можно, например, сослаться, предварительно конечно озаботившись reference integrity.