abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 01:23 | Zajímavý software

Příspěvek na blogu otevřené certifikační autority Let's Encrypt informuje o začlenění podpory protokolu ACME (Automatic Certificate Management Environment) přímo do webového serveru Apache. Klienty ACME lze nahradit novým modulem Apache mod_md. Na vývoj tohoto modulu bylo uvolněno 70 tisíc dolarů z programu Mozilla Open Source Support (MOSS). K rozchození HTTPS na Apache stačí nově přidat do konfiguračního souboru řádek s ManagedDomain. Minutový videonávod na YouTube [reddit].

Ladislav Hagara | Komentářů: 0
včera 14:15 | Komunita

Daniel Stenberg, autor nástroje curl, na svém blogu oznámil, že obdržel letošní Polhemovu cenu, kterou uděluje Švédská inženýrská asociace za „technologickou inovaci nebo důvtipné řešení technického problému“.

marbu | Komentářů: 9
včera 13:40 | Pozvánky

Cílem Social Good Hackathonu, který se uskuteční 21. a 22. října v Brně, je vymyslet a zrealizovat projekty, které pomůžou zlepšit svět kolem nás. Je to unikátní příležitost, jak představit nejrůznější sociální projekty a zrealizovat je, propojit aktivní lidi, zástupce a zástupkyně nevládních organizací a lidi z prostředí IT a designu. Hackathon pořádá brněnská neziskovka Nesehnutí.

… více »
Barbora | Komentářů: 1
včera 00:44 | Pozvánky

V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.

… více »
Pavel Píša | Komentářů: 7
16.10. 23:44 | Bezpečnostní upozornění

V Linuxu byla nalezena bezpečnostní chyba CVE-2017-15265 zneužitelná k lokální eskalaci práv. Jedná se o chybu v části ALSA (Advanced Linux Sound Architecture).

Ladislav Hagara | Komentářů: 1
16.10. 22:44 | Komunita

Greg Kroah-Hartman informuje na svém blogu, že do zdrojových kódu linuxového jádra bylo přidáno (commit) prohlášení Linux Kernel Enforcement Statement. Zdrojové kódy Linuxu jsou k dispozici pod licencí GPL-2.0. Prohlášení přidává ustanovení z GPL-3.0. Cílem je chránit Linux před patentovými trolly, viz například problém s bývalým vedoucím týmu Netfilter Patrickem McHardym. Více v často kladených otázkách (FAQ).

Ladislav Hagara | Komentářů: 4
16.10. 22:04 | Pozvánky

Rádi bychom vás pozvali na přednášku o frameworku Avocado. Jedná se o testovací framework další generace, inspirovaný Autotestem a moderními vývojovými nástroji, jako je třeba git. Přednáška se bude konat 23. října od 17 hodin na FEL ČVUT (Karlovo náměstí, budova E, auditorium K9 – KN:E 301). Více informací na Facebooku.

… více »
mjedlick | Komentářů: 0
16.10. 21:44 | Bezpečnostní upozornění

Nový útok na WPA2 se nazývá KRACK a postihuje prakticky všechna Wi-Fi zařízení / operační systémy. Využívá manipulace s úvodním handshake. Chyba by měla být softwarově opravitelná, je nutné nainstalovat záplaty operačních systémů a aktualizovat firmware zařízení (až budou). Mezitím je doporučeno používat HTTPS a VPN jako další stupeň ochrany.

Václav HFechs Švirga | Komentářů: 3
15.10. 00:11 | Zajímavý projekt

Server Hackaday představuje projekt RainMan 2.0, aneb jak naučit Raspberry Pi 3 s kamerovým modulem pomocí Pythonu a knihovny pro rozpoznávání obrazu OpenCV hrát karetní hru Blackjack. Ukázka rozpoznávání karet na YouTube. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 0
14.10. 15:11 | IT novinky

Online obchod s počítačovými hrami a elektronickými knihami Humble Bundle byl koupen společností IGN. Dle oficiálních prohlášení by měl Humble Bundle dále fungovat stejně jako dosud.

Ladislav Hagara | Komentářů: 8
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (33%)
 (0%)
 (0%)
 (0%)
 (67%)
 (0%)
Celkem 3 hlasů
 Komentářů: 0
    Rozcestník

    Dotaz: Centrální správa uživatelů ve firmě

    26.11.2010 12:07 dustin | skóre: 61 | blog: dustin
    Centrální správa uživatelů ve firmě
    Přečteno: 716×
    Zdravím,

    na toto téma je napsáno spoustu moudrých statí i knih, leč chtěl bych se zeptat na konkrétní zkušenosti. Aktuální stav v malé firmě:

    Klienti - mix winxp + linux Servery - debian Používané síťové protokoly - cifs, nfs

    Centrální správa uživatelů - žádná :-)

    Takže zavedení nového člověka obnáší adduser + smbpasswd na několika serverových strojích a jeho klientovi. Bohužel se to zkomplikovalo NFS, které vyžaduje synchronizaci UID/GID, což už je opravdu příliš pracné.

    Ale nechce se mi do čistě síťového řešení, které pro přihlášení vyžaduje funkční síť, připojení k LDAP serveru atd. Nepotřebujeme centrální autorizaci do windows, stejně máme většinou XP Home, které doménu snad ani neumí :-)

    Nakonec by mi stačila centrální primární DB uživatelů + UID a skupin + GID, ze které by se aktualizovaly lokální /etc/{passwd,group,shadow} + konfigurace samby. Je ale potřeba vyřešit odloženou aktualizaci klientů, které zrovna v době změny nebyly online. Já vím, že to vše lze vyřešit DIY skripty, ale ty jako poslední varianta neutečou :-)

    Předem díky moc za nápady, náměty, zkušenosti. Moc by se mi líbilo nějaké jednoduché průhledné řešení, ale které má již někdo vyzkoušené v praktickém nasazení :-)

    Odpovědi

    29.11.2010 13:29 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Vážně nikdo takovou základní věc ve firmě neřešil? Našel jsem redhatí Free IPA, trochu mi to přijde jako overkill, ale možná je to správná cesta. Nechal bych si něco doporučit :-)
    29.11.2010 14:04 yossi | blog: Q_and_A | Ba'aretz
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Na linux stroje by som odporúčal Puppet. Ja to používam tiež ako doménu pre chudobného (okrem iného). Teoreticky by to mohlo fungovať i pre Windows. Ako by však mal vyzerať modul pre User/auth na Windows netuším.
    29.11.2010 14:37 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Díky moc za tip, to vypadá zajímavě. Nastuduji a dám vědět :)
    29.11.2010 14:21 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Nakonec by mi stačila centrální primární DB uživatelů + UID a skupin + GID, ze které by se aktualizovaly lokální /etc/{passwd,group,shadow} + konfigurace samby. Je ale potřeba vyřešit odloženou aktualizaci klientů, které zrovna v době změny nebyly online. Já vím, že to vše lze vyřešit DIY skripty, ale ty jako poslední varianta neutečou :-)

    NIS resp NIS+, ona sluzi primarne na synchronizovanie vami spominanych (a aj dalsich) suborov. Je ale tiez fakt, ze tymto nezosynchronizujete sambacku DB a tiez to, ze NIS je sluzba stara ako republika, uz malo nasadzovana a malo bezpecna. Riesenim je bud nejake solution ako uz bol spomenuty FreeIPA (ale neviem ako je to s poskytovanim UID/GID), alebo riesenie s LDAP databazou (kompatibilne s posix standardom), ktora je central aj pre sambu. Nic rozumnejsie myslim nenajdete.
    30.11.2010 10:19 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Díky za odpověď. NIS(+) mi přijde overkill a opravdu se zdá být historií. LDAP je standard, ale raději bych dal přednost řešení nezávislému na aktuálním stavu sítě. Servery/pracovní stanice jsou ve více lokalitách propojených relativně nespolehlivou VPN. Zatím se mi stále zdá jako nejvhodnější systém, který by centrálně spravoval/sjednocoval lokální konfigurace jednotlivých strojů - tedy princip toho puppetu a podobných řešení. Ale zatím ani do těchto řešení moc nevidím :)
    30.11.2010 10:39 yossi | blog: Q_and_A | Ba'aretz
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Rozchodiť puppet je otázka jedného dňa aj s čítaním dokumentácie. Napísať svoje moduly a templates je už iná otázka. :)
    30.11.2010 11:22 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Díky za povzbuzující zprávu :)
    30.11.2010 10:40 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Nespolehliva VPN neni az takovy problem.
    V podstate si na kazdem serveru resp. v kazde lokaci muzete nainstalovat read-only repliku LDAP databaze. Moc zmen se v ni krome zmeny hesel obvykle nedela, takze ztrata spojeni s master serverem nevadi.
    Nastavit pro autorizaci dva LDAP servery je take pomerne bezne.
    30.11.2010 11:23 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    To jo, ale rád bych, aby se šlo přihlásit na klientskou stanici i při spadlém síťovém serveru s replikou LDAPu. Zatím nepotřebujeme síťové přihlašování, tak proč dobrovolně zavádět další vrstvu nespolehlivosti a problémů :)
    30.11.2010 11:34 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Protoze "zatim nepotrebujeme" vetsinou znamena "ted jsem to v rychlosti ohakoval a za rok to stejne predelam na LDAP". Jenze za ten rok pribudou dalsi a dalsi systemy, ktere budete muset prekonfigurovat (mail, jabber, wiki, dochazkovy system,..).
    30.11.2010 12:11 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    Jistě, dočasná řešení mívají nejdelší život :-)

    Ne, vážně, centrální evidence uživatelů/skupin je mou základní motivací. Ale jaká je výhoda ldapu vs. evidenční DB plus jednoduché vrstvy generující lokální konfigy, což by měl dělat ten puppet/cfengine/chef (už to chvilku studuju :) )?

    Nevím, proto se ptám a rád se nechám poučit :-)
    30.11.2010 11:43 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    tym ze si zabezpecite replikaciu si vlastne tiez zabezpecite vysoku dostupnost (a moznost sa odkazovat na viacere LDAP servery). Riesenie nezavisle na sieti ma sice skoro 100% dostupnost, ale:
    • v pripade nedostupnosti siete sa nielenze nepripojite na LDAP server, ale (pravdepodobne) sa nepripoja ani klienti napr. na sambu (samozrejme zavisi to od konkretneho pripadu, teraz to vsak globalizujem)
    • v pripade zvacsovania poctu strojov sa stava synchronizacia do buducnosti (asi) nocnou morou (nehovoriac o tom, ze na roznych distribuciach mozu mat systemovi usery rozne UID/GID cisla, ale taktiez ze na roznych distribuciach su rozne pomenovani (www-data vs. apache a pod.), takze v pripade heterogennej linuxovej infrastruktury ta cista synchronizacia passwd/shadow/group.. suborov zas az tak jednoducha nije)
    • dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
    30.11.2010 12:21 dustin | skóre: 61 | blog: dustin
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    v pripade nedostupnosti siete sa nielenze nepripojite na LDAP server, ale (pravdepodobne) sa nepripoja ani klienti napr. na sambu (samozrejme zavisi to od konkretneho pripadu, teraz to vsak globalizujem)
    Ale mohou se aspoň přihlásit a pracovat lokálně, třeba naši vývojáři nepotřebují permanentní přístup na síťové služby.
    v pripade zvacsovania poctu strojov sa stava synchronizacia do buducnosti (asi) nocnou morou
    Jak jsem pochopil, právě toto by ty systémy na centralizovanou správu konfigurace měly především řešit. Údajně desítky tisíc strojů je běžné.
    nehovoriac o tom, ze na roznych distribuciach mozu mat systemovi usery rozne UID/GID cisla, ale taktiez ze na roznych distribuciach su rozne pomenovani (www-data vs. apache a pod.), takze v pripade heterogennej linuxovej infrastruktury ta cista synchronizacia passwd/shadow/group.. suborov zas az tak jednoducha nije)
    Toho jsem si vědom a proto to nechci řešit vlastními skripty. Předpokládám (možná bláhově), že právě toto řeší "chytrost" třeba toho puppetu. Navíc jak by mi LDAP pomohl s různými názvy "systémových" uživatelů na různých distribucích? Nevím, přijde mi jednodušší nějaké logika, která sama pozná typ distribuce a dle toho volí název uživatele. A to ty výše uvedené systémy asi už umí.
    dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
    Něco takového se v sítích s ldapí autorizací vážně na všech klientech provozuje? Možná jo, ale přijde mi to trochu složité.

    Prosím neberte to jako že se zuby nehty bráním LDAPu, jen se snažím najít výhody vs. nevýhody těch dvou základních principů - LDAP vs. generování lokálních souborů z něčeho centrálního. Možná to má být provozované současně, LDAP na autorizaci, centrální konfigurace na vše ostatní. Jak to máte u vás?
    michich avatar 30.11.2010 12:30 michich | skóre: 51 | blog: ohrivane_parky
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
    Něco takového se v sítích s ldapí autorizací vážně na všech klientech provozuje?
    Tohle dělá např. SSSD.
    30.11.2010 13:09 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
    v pripade nedostupnosti siete sa nielenze nepripojite na LDAP server, ale (pravdepodobne) sa nepripoja ani klienti napr. na sambu (samozrejme zavisi to od konkretneho pripadu, teraz to vsak globalizujem)
    Ale mohou se aspoň přihlásit a pracovat lokálně, třeba naši vývojáři nepotřebují permanentní přístup na síťové služby.
    Pre lokalne prihlasenia userov to je nasledovne:
    • spominali ste ze sa vacsinou pouzivaju Windows XP Home, ktore domenu nepodporuju, takze v tomto pripade by ziadna zmena nenastala
    • a aj keby ste mali system schopny pripojit sa do domeny tak aj v pripade nedostupnosti sluzby by sa clovek na stroj dokazal pripojit: Windows cachuju poslednych 10(?) uspesnych prihlaseni a naloguju vas aj ked domena je nedostupna. Pre linux by sa uz pouzival spominany cachovaci demon (nscd, sssd, pripadne cacheovanie na urovni PAM)
    v pripade zvacsovania poctu strojov sa stava synchronizacia do buducnosti (asi) nocnou morou
    Jak jsem pochopil, právě toto by ty systémy na centralizovanou správu konfigurace měly především řešit. Údajně desítky tisíc strojů je běžné.
    Ano, avsak ja som pri tom dosledku vychadzal s vami prezentovanej "centralizovanej spravy", kde sa synchronizuju passwd/... subory. Pri tej skutocnej to tak naozaj plati ako ste to teraz napisali (a to je ta, ktora vam je tu ponukana).
    nehovoriac o tom, ze na roznych distribuciach mozu mat systemovi usery rozne UID/GID cisla, ale taktiez ze na roznych distribuciach su rozne pomenovani (www-data vs. apache a pod.), takze v pripade heterogennej linuxovej infrastruktury ta cista synchronizacia passwd/shadow/group.. suborov zas az tak jednoducha nije)
    Toho jsem si vědom a proto to nechci řešit vlastními skripty. Předpokládám (možná bláhově), že právě toto řeší "chytrost" třeba toho puppetu. Navíc jak by mi LDAP pomohl s různými názvy "systémových" uživatelů na různých distribucích? Nevím, přijde mi jednodušší nějaké logika, která sama pozná typ distribuce a dle toho volí název uživatele. A to ty výše uvedené systémy asi už umí.
    riesi sa to jednoducho, zoznam userov s LDAPu sa povazuje ako doplnkovy zoznam k lokalnym passwd/shadow/group/sgroup suborom. to znamena ze v LDAPe drzite len realnych userov a systemovi stale ostavaju (udrzovani) v lokalnych suboroch.
    dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
    Něco takového se v sítích s ldapí autorizací vážně na všech klientech provozuje? Možná jo, ale přijde mi to trochu složité.
    Tieto priklady cachovania som uvadzal pre pripady dostupnosti sluzby pre klientov a nie prihlasovanie klientov samotnych (kvoli xp home edt.). Ale pri niektorych sa nejedna o abosultne nic komplikovane. caching demon nscd funguje a cachuje bez akejkolvek dodatocnej nevyhnutnej konfiguracie.
    Prosím neberte to jako že se zuby nehty bráním LDAPu, jen se snažím najít výhody vs. nevýhody těch dvou základních principů - LDAP vs. generování lokálních souborů z něčeho centrálního. Možná to má být provozované současně, LDAP na autorizaci, centrální konfigurace na vše ostatní. Jak to máte u vás?
    Prevadzkujem to naozaj centralne so vsetkym co k tomu patri (prostredie strednej skoly s mnozstvom pocitacov a sluzieb). na sposob ktory tu opisujem. totiz tento sposob vam umoznuje do buducna pridavat dalsie sluzby bez zbytocnych komplikacii cez jednotny komunikacny protkol/pristup a s centralnym uloziskom pouzivatelov (so spravou hesiel) s okamzitou aplikaciou zmien.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.