abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 23:33 | Nová verze

Byla vydána nová stabilní verze 1.15 (1.15.1147.36) webového prohlížeče Vivaldi (Wikipedie). Z novinek lze zdůraznit možnost nastavení vlastního pozadí okna, přístup k záložkám z hlavního menu, lepší ovládatelnost v režimu celé obrazovky nebo vyřešení problémů se zvukem v HTML5. Nejnovější Vivaldi je postaveno na Chromiu 65.0.3325.183.

Ladislav Hagara | Komentářů: 0
včera 17:22 | Nová verze

Node.js Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 10.0.0 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). Verze 10 se v říjnu stane novou aktivní LTS verzí. Podpora je plánována do dubna 2021.

Ladislav Hagara | Komentářů: 0
včera 15:33 | Nová verze

Neal Cardwell ze společnosti Google oznámil zveřejnění verze 2.0 nástroje pro testování síťového stacku packetdrill. Jde o souhrnné vydání změn z interního vývoje od roku 2013.

Michal Kubeček | Komentářů: 0
včera 13:22 | Zajímavý software

Microsoft na svém blogu oznámil, že správce knihoven pro C++ Vcpkg (VC++ Packaging Tool) lze nově používat také na Linuxu a macOS. Aktuálně je pro Linux k dispozici více než 350 knihoven [reddit].

Ladislav Hagara | Komentářů: 1
včera 12:44 | Komunita

Byly zveřejněny exploity na Nintendo Switch a platformu Tegra X1: Fusée Gelée a ShofEL2. Jejich zneužití nelze zabránit softwarovou aktualizací. Na druhou stranu exploity umožní na Nintendo Switch snadno a rychle nainstalovat Linux, viz. ukázka na YouTube. Jenom je potřeba sáhnout na hardware.

Ladislav Hagara | Komentářů: 0
včera 00:55 | Nová verze

Byla vydána verze 2.12.0 QEMU (Wikipedie). Přispělo 204 vývojářů. Provedeno bylo více než 2 700 commitů. Přehled úprav a nových vlastností v seznamu změn. Řešeny jsou také bezpečnostní chyby Meltdown a Spectre.

Ladislav Hagara | Komentářů: 7
včera 00:33 | Komunita

Google zveřejnil seznam 1 264 studentů přijatých do letošního Google Summer of Code. Přehled projektů, studentů, 212 organizací a mentorů je k dispozici na stránkách GSoC.

Ladislav Hagara | Komentářů: 0
24.4. 23:55 | Nová verze

Oracle vydal verzi 1.0 univerzálního virtuálního stroje GraalVM, který umožňuje běh programů napsaných v jazycích založených na JVM, JavaScript, LLVM bitcode a experimentálně Ruby, R a Python.

razor | Komentářů: 1
24.4. 01:22 | Zajímavý článek

Julia Evans pomocí svých kreslených obrázků proniká do Linuxu a informačních technologií. Vedle ucelených zinů publikuje také jednotlivé kreslené obrázky (RSS).

Ladislav Hagara | Komentářů: 5
23.4. 13:22 | Zajímavý software

Jordi Sanfeliu vydal verzi 1.0.0 svého unixového jádra Fiwix (Wikipedie) určeného také pro výuku operačních systémů. Dle článku na OSNews na něm začal pracovat již před více než dvaceti lety. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT. Stáhnout a vyzkoušet lze živou disketu nebo CD s GNU/Fiwixem.

Ladislav Hagara | Komentářů: 5
Používáte na serverech port knocking?
 (3%)
 (7%)
 (46%)
 (26%)
 (18%)
Celkem 382 hlasů
 Komentářů: 29, poslední 5.4. 12:25
    Rozcestník

    Dotaz: Centrální správa uživatelů ve firmě

    26.11.2010 12:07 dustin | skóre: 61 | blog: dustin
    Centrální správa uživatelů ve firmě
    Přečteno: 716×
    Zdravím,

    na toto téma je napsáno spoustu moudrých statí i knih, leč chtěl bych se zeptat na konkrétní zkušenosti. Aktuální stav v malé firmě:

    Klienti - mix winxp + linux Servery - debian Používané síťové protokoly - cifs, nfs

    Centrální správa uživatelů - žádná :-)

    Takže zavedení nového člověka obnáší adduser + smbpasswd na několika serverových strojích a jeho klientovi. Bohužel se to zkomplikovalo NFS, které vyžaduje synchronizaci UID/GID, což už je opravdu příliš pracné.

    Ale nechce se mi do čistě síťového řešení, které pro přihlášení vyžaduje funkční síť, připojení k LDAP serveru atd. Nepotřebujeme centrální autorizaci do windows, stejně máme většinou XP Home, které doménu snad ani neumí :-)

    Nakonec by mi stačila centrální primární DB uživatelů + UID a skupin + GID, ze které by se aktualizovaly lokální /etc/{passwd,group,shadow} + konfigurace samby. Je ale potřeba vyřešit odloženou aktualizaci klientů, které zrovna v době změny nebyly online. Já vím, že to vše lze vyřešit DIY skripty, ale ty jako poslední varianta neutečou :-)

    Předem díky moc za nápady, náměty, zkušenosti. Moc by se mi líbilo nějaké jednoduché průhledné řešení, ale které má již někdo vyzkoušené v praktickém nasazení :-)

    Odpovědi

    29.11.2010 13:29 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Vážně nikdo takovou základní věc ve firmě neřešil? Našel jsem redhatí Free IPA, trochu mi to přijde jako overkill, ale možná je to správná cesta. Nechal bych si něco doporučit :-)
    29.11.2010 14:04 yossi | blog: Q_and_A | Ba'aretz
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Na linux stroje by som odporúčal Puppet. Ja to používam tiež ako doménu pre chudobného (okrem iného). Teoreticky by to mohlo fungovať i pre Windows. Ako by však mal vyzerať modul pre User/auth na Windows netuším.
    29.11.2010 14:37 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Díky moc za tip, to vypadá zajímavě. Nastuduji a dám vědět :)
    29.11.2010 14:21 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Nakonec by mi stačila centrální primární DB uživatelů + UID a skupin + GID, ze které by se aktualizovaly lokální /etc/{passwd,group,shadow} + konfigurace samby. Je ale potřeba vyřešit odloženou aktualizaci klientů, které zrovna v době změny nebyly online. Já vím, že to vše lze vyřešit DIY skripty, ale ty jako poslední varianta neutečou :-)

    NIS resp NIS+, ona sluzi primarne na synchronizovanie vami spominanych (a aj dalsich) suborov. Je ale tiez fakt, ze tymto nezosynchronizujete sambacku DB a tiez to, ze NIS je sluzba stara ako republika, uz malo nasadzovana a malo bezpecna. Riesenim je bud nejake solution ako uz bol spomenuty FreeIPA (ale neviem ako je to s poskytovanim UID/GID), alebo riesenie s LDAP databazou (kompatibilne s posix standardom), ktora je central aj pre sambu. Nic rozumnejsie myslim nenajdete.
    30.11.2010 10:19 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Díky za odpověď. NIS(+) mi přijde overkill a opravdu se zdá být historií. LDAP je standard, ale raději bych dal přednost řešení nezávislému na aktuálním stavu sítě. Servery/pracovní stanice jsou ve více lokalitách propojených relativně nespolehlivou VPN. Zatím se mi stále zdá jako nejvhodnější systém, který by centrálně spravoval/sjednocoval lokální konfigurace jednotlivých strojů - tedy princip toho puppetu a podobných řešení. Ale zatím ani do těchto řešení moc nevidím :)
    30.11.2010 10:39 yossi | blog: Q_and_A | Ba'aretz
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Rozchodiť puppet je otázka jedného dňa aj s čítaním dokumentácie. Napísať svoje moduly a templates je už iná otázka. :)
    30.11.2010 11:22 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Díky za povzbuzující zprávu :)
    30.11.2010 10:40 alkoholik | skóre: 36 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Nespolehliva VPN neni az takovy problem.
    V podstate si na kazdem serveru resp. v kazde lokaci muzete nainstalovat read-only repliku LDAP databaze. Moc zmen se v ni krome zmeny hesel obvykle nedela, takze ztrata spojeni s master serverem nevadi.
    Nastavit pro autorizaci dva LDAP servery je take pomerne bezne.
    30.11.2010 11:23 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    To jo, ale rád bych, aby se šlo přihlásit na klientskou stanici i při spadlém síťovém serveru s replikou LDAPu. Zatím nepotřebujeme síťové přihlašování, tak proč dobrovolně zavádět další vrstvu nespolehlivosti a problémů :)
    30.11.2010 11:34 alkoholik | skóre: 36 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Protoze "zatim nepotrebujeme" vetsinou znamena "ted jsem to v rychlosti ohakoval a za rok to stejne predelam na LDAP". Jenze za ten rok pribudou dalsi a dalsi systemy, ktere budete muset prekonfigurovat (mail, jabber, wiki, dochazkovy system,..).
    30.11.2010 12:11 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Jistě, dočasná řešení mívají nejdelší život :-)

    Ne, vážně, centrální evidence uživatelů/skupin je mou základní motivací. Ale jaká je výhoda ldapu vs. evidenční DB plus jednoduché vrstvy generující lokální konfigy, což by měl dělat ten puppet/cfengine/chef (už to chvilku studuju :) )?

    Nevím, proto se ptám a rád se nechám poučit :-)
    30.11.2010 11:43 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    tym ze si zabezpecite replikaciu si vlastne tiez zabezpecite vysoku dostupnost (a moznost sa odkazovat na viacere LDAP servery). Riesenie nezavisle na sieti ma sice skoro 100% dostupnost, ale:
    • v pripade nedostupnosti siete sa nielenze nepripojite na LDAP server, ale (pravdepodobne) sa nepripoja ani klienti napr. na sambu (samozrejme zavisi to od konkretneho pripadu, teraz to vsak globalizujem)
    • v pripade zvacsovania poctu strojov sa stava synchronizacia do buducnosti (asi) nocnou morou (nehovoriac o tom, ze na roznych distribuciach mozu mat systemovi usery rozne UID/GID cisla, ale taktiez ze na roznych distribuciach su rozne pomenovani (www-data vs. apache a pod.), takze v pripade heterogennej linuxovej infrastruktury ta cista synchronizacia passwd/shadow/group.. suborov zas az tak jednoducha nije)
    • dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
    30.11.2010 12:21 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    v pripade nedostupnosti siete sa nielenze nepripojite na LDAP server, ale (pravdepodobne) sa nepripoja ani klienti napr. na sambu (samozrejme zavisi to od konkretneho pripadu, teraz to vsak globalizujem)
    Ale mohou se aspoň přihlásit a pracovat lokálně, třeba naši vývojáři nepotřebují permanentní přístup na síťové služby.
    v pripade zvacsovania poctu strojov sa stava synchronizacia do buducnosti (asi) nocnou morou
    Jak jsem pochopil, právě toto by ty systémy na centralizovanou správu konfigurace měly především řešit. Údajně desítky tisíc strojů je běžné.
    nehovoriac o tom, ze na roznych distribuciach mozu mat systemovi usery rozne UID/GID cisla, ale taktiez ze na roznych distribuciach su rozne pomenovani (www-data vs. apache a pod.), takze v pripade heterogennej linuxovej infrastruktury ta cista synchronizacia passwd/shadow/group.. suborov zas az tak jednoducha nije)
    Toho jsem si vědom a proto to nechci řešit vlastními skripty. Předpokládám (možná bláhově), že právě toto řeší "chytrost" třeba toho puppetu. Navíc jak by mi LDAP pomohl s různými názvy "systémových" uživatelů na různých distribucích? Nevím, přijde mi jednodušší nějaké logika, která sama pozná typ distribuce a dle toho volí název uživatele. A to ty výše uvedené systémy asi už umí.
    dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
    Něco takového se v sítích s ldapí autorizací vážně na všech klientech provozuje? Možná jo, ale přijde mi to trochu složité.

    Prosím neberte to jako že se zuby nehty bráním LDAPu, jen se snažím najít výhody vs. nevýhody těch dvou základních principů - LDAP vs. generování lokálních souborů z něčeho centrálního. Možná to má být provozované současně, LDAP na autorizaci, centrální konfigurace na vše ostatní. Jak to máte u vás?
    michich avatar 30.11.2010 12:30 michich | skóre: 51 | blog: ohrivane_parky
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
    Něco takového se v sítích s ldapí autorizací vážně na všech klientech provozuje?
    Tohle dělá např. SSSD.
    30.11.2010 13:09 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    v pripade nedostupnosti siete sa nielenze nepripojite na LDAP server, ale (pravdepodobne) sa nepripoja ani klienti napr. na sambu (samozrejme zavisi to od konkretneho pripadu, teraz to vsak globalizujem)
    Ale mohou se aspoň přihlásit a pracovat lokálně, třeba naši vývojáři nepotřebují permanentní přístup na síťové služby.
    Pre lokalne prihlasenia userov to je nasledovne:
    • spominali ste ze sa vacsinou pouzivaju Windows XP Home, ktore domenu nepodporuju, takze v tomto pripade by ziadna zmena nenastala
    • a aj keby ste mali system schopny pripojit sa do domeny tak aj v pripade nedostupnosti sluzby by sa clovek na stroj dokazal pripojit: Windows cachuju poslednych 10(?) uspesnych prihlaseni a naloguju vas aj ked domena je nedostupna. Pre linux by sa uz pouzival spominany cachovaci demon (nscd, sssd, pripadne cacheovanie na urovni PAM)
    v pripade zvacsovania poctu strojov sa stava synchronizacia do buducnosti (asi) nocnou morou
    Jak jsem pochopil, právě toto by ty systémy na centralizovanou správu konfigurace měly především řešit. Údajně desítky tisíc strojů je běžné.
    Ano, avsak ja som pri tom dosledku vychadzal s vami prezentovanej "centralizovanej spravy", kde sa synchronizuju passwd/... subory. Pri tej skutocnej to tak naozaj plati ako ste to teraz napisali (a to je ta, ktora vam je tu ponukana).
    nehovoriac o tom, ze na roznych distribuciach mozu mat systemovi usery rozne UID/GID cisla, ale taktiez ze na roznych distribuciach su rozne pomenovani (www-data vs. apache a pod.), takze v pripade heterogennej linuxovej infrastruktury ta cista synchronizacia passwd/shadow/group.. suborov zas az tak jednoducha nije)
    Toho jsem si vědom a proto to nechci řešit vlastními skripty. Předpokládám (možná bláhově), že právě toto řeší "chytrost" třeba toho puppetu. Navíc jak by mi LDAP pomohl s různými názvy "systémových" uživatelů na různých distribucích? Nevím, přijde mi jednodušší nějaké logika, která sama pozná typ distribuce a dle toho volí název uživatele. A to ty výše uvedené systémy asi už umí.
    riesi sa to jednoducho, zoznam userov s LDAPu sa povazuje ako doplnkovy zoznam k lokalnym passwd/shadow/group/sgroup suborom. to znamena ze v LDAPe drzite len realnych userov a systemovi stale ostavaju (udrzovani) v lokalnych suboroch.
    dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
    Něco takového se v sítích s ldapí autorizací vážně na všech klientech provozuje? Možná jo, ale přijde mi to trochu složité.
    Tieto priklady cachovania som uvadzal pre pripady dostupnosti sluzby pre klientov a nie prihlasovanie klientov samotnych (kvoli xp home edt.). Ale pri niektorych sa nejedna o abosultne nic komplikovane. caching demon nscd funguje a cachuje bez akejkolvek dodatocnej nevyhnutnej konfiguracie.
    Prosím neberte to jako že se zuby nehty bráním LDAPu, jen se snažím najít výhody vs. nevýhody těch dvou základních principů - LDAP vs. generování lokálních souborů z něčeho centrálního. Možná to má být provozované současně, LDAP na autorizaci, centrální konfigurace na vše ostatní. Jak to máte u vás?
    Prevadzkujem to naozaj centralne so vsetkym co k tomu patri (prostredie strednej skoly s mnozstvom pocitacov a sluzieb). na sposob ktory tu opisujem. totiz tento sposob vam umoznuje do buducna pridavat dalsie sluzby bez zbytocnych komplikacii cez jednotny komunikacny protkol/pristup a s centralnym uloziskom pouzivatelov (so spravou hesiel) s okamzitou aplikaciou zmien.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.