abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 17:50 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice slaví 5 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně byla založena ale až 17. února 2012.

Ladislav Hagara | Komentářů: 0
dnes 12:50 | Komunita

Mozilla.cz informuje, že dosud experimentální funkce Page Shot z programu Firefox Test Pilot (zprávička) se stane součástí Firefoxu. Page Shot je nástroj pro vytváření snímků webových stránek. Umí výběr oblasti, prvku stránky (např. odstavce), nebo uložení snímku celé stránky. Snímky lze ukládat na disk nebo nahrávat na server Mozilly. Nedávno bylo oznámeno, že se součástí Firefoxu stane Activity Stream.

Ladislav Hagara | Komentářů: 2
dnes 04:10 | Nová verze

Po 10 týdnech vývoje od vydání Linuxu 4.9 (zprávička) oznámil Linus Torvalds, mj. již 20 let žijící v USA, vydání Linuxu 4.10 (LKML). Přehled nových vlastností a vylepšení například na Kernel Newbies a v Jaderných novinách (1, 2 a 3). Kódové jméno Linuxu 4.10 je Fearless Coyote.

Ladislav Hagara | Komentářů: 1
včera 15:55 | Zajímavý projekt

Vyzkoušet si příkazy a vyřešit několik úkolů lze na stránkách Commandline Challenge (CMD Challenge). Úkoly lze řešit různými způsoby, důležitý je výsledek. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 16
18.2. 17:35 | Bezpečnostní upozornění

Německá Bundesnetzagentur (obdoba českého ČTU) zakázala na německém území prodej panenky Cayla kvůli „špionáži“ dětí. Tato elektronická hračka obsahuje mikrofon, reproduktor a kameru a bezdrátové komunikační rozhraní, pomocí kterého se hračka připojuje na servery výrobce. Takovýmto způsobem může hračka pomocí umělé inteligence „odpovídat“ na dotazy dítěte. Hlavní problém bude ale asi někde jinde, podle prvotních zpráv může

… více »
Petr Tomášek | Komentářů: 28
17.2. 15:30 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že bezpečnostní experti objevili nový typ malwaru, jenž cílí na open source e-commerce platformu Magento. Malware je zajímavý tím, že se jedná o první svého druhu, jehož kód zůstává skrytý v SQL databázi zasaženého e-shopu. Škodlivý kód je volán pomocí tzv. SQL trigerru, který je spouštěn při každém vytvoření objednávky v systému.

Ladislav Hagara | Komentářů: 3
17.2. 09:00 | Nová verze

Bylo vydáno Ubuntu 16.04.2 LTS, tj. druhé opravné vydání Ubuntu 16.04 LTS s kódovým názvem Xenial Xerus. Přehled novinek v poznámkách k vydání a v přehledu změn.

Ladislav Hagara | Komentářů: 56
17.2. 06:00 | Zajímavý článek

Pavel Tišnovský se v dvoudílném článku na MojeFedora.cz věnuje tvorbě pluginů (modulů) pro bitmapový grafický editor GIMP. Pomocí pluginů lze GIMP rozšiřovat o další funkce. Implementovat lze například nové filtry nebo pomocné utility pro tvorbu animací či poloautomatickou retuš snímků.

Ladislav Hagara | Komentářů: 6
16.2. 23:32 | Komunita

Do 30. března se lze přihlásit do dalšího kola programu Outreachy, jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 30. května do 30. srpna 2017, v participujících organizacích lze vydělat 5 500 USD. Jedná se již o 14. kolo tohoto programu.

Ladislav Hagara | Komentářů: 11
16.2. 23:13 | Nová verze

Byla vydána verze 0.92.1 svobodného multiplatformního vektorového grafického editoru Inkscape. Přehled novinek v poznámkách k vydání. Řešen je mimo jiné problém s verzí 0.92, jež rozbíjí dokumenty vytvořené v předchozích verzích Inkscape. Více v příspěvku na blogu Davida Revoye, autora open source webového komiksu Pepper&Carrot nebo portrétu GNU/Linuxu.

Ladislav Hagara | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 666 hlasů
 Komentářů: 53, poslední dnes 18:38
Rozcestník
Reklama

Dotaz: Centrální správa uživatelů ve firmě

26.11.2010 12:07 dustin | skóre: 60 | blog: dustin
Centrální správa uživatelů ve firmě
Přečteno: 715×
Zdravím,

na toto téma je napsáno spoustu moudrých statí i knih, leč chtěl bych se zeptat na konkrétní zkušenosti. Aktuální stav v malé firmě:

Klienti - mix winxp + linux Servery - debian Používané síťové protokoly - cifs, nfs

Centrální správa uživatelů - žádná :-)

Takže zavedení nového člověka obnáší adduser + smbpasswd na několika serverových strojích a jeho klientovi. Bohužel se to zkomplikovalo NFS, které vyžaduje synchronizaci UID/GID, což už je opravdu příliš pracné.

Ale nechce se mi do čistě síťového řešení, které pro přihlášení vyžaduje funkční síť, připojení k LDAP serveru atd. Nepotřebujeme centrální autorizaci do windows, stejně máme většinou XP Home, které doménu snad ani neumí :-)

Nakonec by mi stačila centrální primární DB uživatelů + UID a skupin + GID, ze které by se aktualizovaly lokální /etc/{passwd,group,shadow} + konfigurace samby. Je ale potřeba vyřešit odloženou aktualizaci klientů, které zrovna v době změny nebyly online. Já vím, že to vše lze vyřešit DIY skripty, ale ty jako poslední varianta neutečou :-)

Předem díky moc za nápady, náměty, zkušenosti. Moc by se mi líbilo nějaké jednoduché průhledné řešení, ale které má již někdo vyzkoušené v praktickém nasazení :-)

Odpovědi

29.11.2010 13:29 dustin | skóre: 60 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
Vážně nikdo takovou základní věc ve firmě neřešil? Našel jsem redhatí Free IPA, trochu mi to přijde jako overkill, ale možná je to správná cesta. Nechal bych si něco doporučit :-)
29.11.2010 14:04 yossi | blog: Q_and_A | Ba'aretz
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
Na linux stroje by som odporúčal Puppet. Ja to používam tiež ako doménu pre chudobného (okrem iného). Teoreticky by to mohlo fungovať i pre Windows. Ako by však mal vyzerať modul pre User/auth na Windows netuším.
29.11.2010 14:37 dustin | skóre: 60 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
Díky moc za tip, to vypadá zajímavě. Nastuduji a dám vědět :)
29.11.2010 14:21 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
Nakonec by mi stačila centrální primární DB uživatelů + UID a skupin + GID, ze které by se aktualizovaly lokální /etc/{passwd,group,shadow} + konfigurace samby. Je ale potřeba vyřešit odloženou aktualizaci klientů, které zrovna v době změny nebyly online. Já vím, že to vše lze vyřešit DIY skripty, ale ty jako poslední varianta neutečou :-)

NIS resp NIS+, ona sluzi primarne na synchronizovanie vami spominanych (a aj dalsich) suborov. Je ale tiez fakt, ze tymto nezosynchronizujete sambacku DB a tiez to, ze NIS je sluzba stara ako republika, uz malo nasadzovana a malo bezpecna. Riesenim je bud nejake solution ako uz bol spomenuty FreeIPA (ale neviem ako je to s poskytovanim UID/GID), alebo riesenie s LDAP databazou (kompatibilne s posix standardom), ktora je central aj pre sambu. Nic rozumnejsie myslim nenajdete.
30.11.2010 10:19 dustin | skóre: 60 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
Díky za odpověď. NIS(+) mi přijde overkill a opravdu se zdá být historií. LDAP je standard, ale raději bych dal přednost řešení nezávislému na aktuálním stavu sítě. Servery/pracovní stanice jsou ve více lokalitách propojených relativně nespolehlivou VPN. Zatím se mi stále zdá jako nejvhodnější systém, který by centrálně spravoval/sjednocoval lokální konfigurace jednotlivých strojů - tedy princip toho puppetu a podobných řešení. Ale zatím ani do těchto řešení moc nevidím :)
30.11.2010 10:39 yossi | blog: Q_and_A | Ba'aretz
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
Rozchodiť puppet je otázka jedného dňa aj s čítaním dokumentácie. Napísať svoje moduly a templates je už iná otázka. :)
30.11.2010 11:22 dustin | skóre: 60 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
Díky za povzbuzující zprávu :)
30.11.2010 10:40 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
Nespolehliva VPN neni az takovy problem.
V podstate si na kazdem serveru resp. v kazde lokaci muzete nainstalovat read-only repliku LDAP databaze. Moc zmen se v ni krome zmeny hesel obvykle nedela, takze ztrata spojeni s master serverem nevadi.
Nastavit pro autorizaci dva LDAP servery je take pomerne bezne.
30.11.2010 11:23 dustin | skóre: 60 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
To jo, ale rád bych, aby se šlo přihlásit na klientskou stanici i při spadlém síťovém serveru s replikou LDAPu. Zatím nepotřebujeme síťové přihlašování, tak proč dobrovolně zavádět další vrstvu nespolehlivosti a problémů :)
30.11.2010 11:34 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
Protoze "zatim nepotrebujeme" vetsinou znamena "ted jsem to v rychlosti ohakoval a za rok to stejne predelam na LDAP". Jenze za ten rok pribudou dalsi a dalsi systemy, ktere budete muset prekonfigurovat (mail, jabber, wiki, dochazkovy system,..).
30.11.2010 12:11 dustin | skóre: 60 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
Jistě, dočasná řešení mívají nejdelší život :-)

Ne, vážně, centrální evidence uživatelů/skupin je mou základní motivací. Ale jaká je výhoda ldapu vs. evidenční DB plus jednoduché vrstvy generující lokální konfigy, což by měl dělat ten puppet/cfengine/chef (už to chvilku studuju :) )?

Nevím, proto se ptám a rád se nechám poučit :-)
30.11.2010 11:43 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
tym ze si zabezpecite replikaciu si vlastne tiez zabezpecite vysoku dostupnost (a moznost sa odkazovat na viacere LDAP servery). Riesenie nezavisle na sieti ma sice skoro 100% dostupnost, ale:
  • v pripade nedostupnosti siete sa nielenze nepripojite na LDAP server, ale (pravdepodobne) sa nepripoja ani klienti napr. na sambu (samozrejme zavisi to od konkretneho pripadu, teraz to vsak globalizujem)
  • v pripade zvacsovania poctu strojov sa stava synchronizacia do buducnosti (asi) nocnou morou (nehovoriac o tom, ze na roznych distribuciach mozu mat systemovi usery rozne UID/GID cisla, ale taktiez ze na roznych distribuciach su rozne pomenovani (www-data vs. apache a pod.), takze v pripade heterogennej linuxovej infrastruktury ta cista synchronizacia passwd/shadow/group.. suborov zas az tak jednoducha nije)
  • dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
30.11.2010 12:21 dustin | skóre: 60 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
v pripade nedostupnosti siete sa nielenze nepripojite na LDAP server, ale (pravdepodobne) sa nepripoja ani klienti napr. na sambu (samozrejme zavisi to od konkretneho pripadu, teraz to vsak globalizujem)
Ale mohou se aspoň přihlásit a pracovat lokálně, třeba naši vývojáři nepotřebují permanentní přístup na síťové služby.
v pripade zvacsovania poctu strojov sa stava synchronizacia do buducnosti (asi) nocnou morou
Jak jsem pochopil, právě toto by ty systémy na centralizovanou správu konfigurace měly především řešit. Údajně desítky tisíc strojů je běžné.
nehovoriac o tom, ze na roznych distribuciach mozu mat systemovi usery rozne UID/GID cisla, ale taktiez ze na roznych distribuciach su rozne pomenovani (www-data vs. apache a pod.), takze v pripade heterogennej linuxovej infrastruktury ta cista synchronizacia passwd/shadow/group.. suborov zas az tak jednoducha nije)
Toho jsem si vědom a proto to nechci řešit vlastními skripty. Předpokládám (možná bláhově), že právě toto řeší "chytrost" třeba toho puppetu. Navíc jak by mi LDAP pomohl s různými názvy "systémových" uživatelů na různých distribucích? Nevím, přijde mi jednodušší nějaké logika, která sama pozná typ distribuce a dle toho volí název uživatele. A to ty výše uvedené systémy asi už umí.
dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
Něco takového se v sítích s ldapí autorizací vážně na všech klientech provozuje? Možná jo, ale přijde mi to trochu složité.

Prosím neberte to jako že se zuby nehty bráním LDAPu, jen se snažím najít výhody vs. nevýhody těch dvou základních principů - LDAP vs. generování lokálních souborů z něčeho centrálního. Možná to má být provozované současně, LDAP na autorizaci, centrální konfigurace na vše ostatní. Jak to máte u vás?
michich avatar 30.11.2010 12:30 michich | skóre: 50 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
Něco takového se v sítích s ldapí autorizací vážně na všech klientech provozuje?
Tohle dělá např. SSSD.
30.11.2010 13:09 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě
v pripade nedostupnosti siete sa nielenze nepripojite na LDAP server, ale (pravdepodobne) sa nepripoja ani klienti napr. na sambu (samozrejme zavisi to od konkretneho pripadu, teraz to vsak globalizujem)
Ale mohou se aspoň přihlásit a pracovat lokálně, třeba naši vývojáři nepotřebují permanentní přístup na síťové služby.
Pre lokalne prihlasenia userov to je nasledovne:
  • spominali ste ze sa vacsinou pouzivaju Windows XP Home, ktore domenu nepodporuju, takze v tomto pripade by ziadna zmena nenastala
  • a aj keby ste mali system schopny pripojit sa do domeny tak aj v pripade nedostupnosti sluzby by sa clovek na stroj dokazal pripojit: Windows cachuju poslednych 10(?) uspesnych prihlaseni a naloguju vas aj ked domena je nedostupna. Pre linux by sa uz pouzival spominany cachovaci demon (nscd, sssd, pripadne cacheovanie na urovni PAM)
v pripade zvacsovania poctu strojov sa stava synchronizacia do buducnosti (asi) nocnou morou
Jak jsem pochopil, právě toto by ty systémy na centralizovanou správu konfigurace měly především řešit. Údajně desítky tisíc strojů je běžné.
Ano, avsak ja som pri tom dosledku vychadzal s vami prezentovanej "centralizovanej spravy", kde sa synchronizuju passwd/... subory. Pri tej skutocnej to tak naozaj plati ako ste to teraz napisali (a to je ta, ktora vam je tu ponukana).
nehovoriac o tom, ze na roznych distribuciach mozu mat systemovi usery rozne UID/GID cisla, ale taktiez ze na roznych distribuciach su rozne pomenovani (www-data vs. apache a pod.), takze v pripade heterogennej linuxovej infrastruktury ta cista synchronizacia passwd/shadow/group.. suborov zas az tak jednoducha nije)
Toho jsem si vědom a proto to nechci řešit vlastními skripty. Předpokládám (možná bláhově), že právě toto řeší "chytrost" třeba toho puppetu. Navíc jak by mi LDAP pomohl s různými názvy "systémových" uživatelů na různých distribucích? Nevím, přijde mi jednodušší nějaké logika, která sama pozná typ distribuce a dle toho volí název uživatele. A to ty výše uvedené systémy asi už umí.
riesi sa to jednoducho, zoznam userov s LDAPu sa povazuje ako doplnkovy zoznam k lokalnym passwd/shadow/group/sgroup suborom. to znamena ze v LDAPe drzite len realnych userov a systemovi stale ostavaju (udrzovani) v lokalnych suboroch.
dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
Něco takového se v sítích s ldapí autorizací vážně na všech klientech provozuje? Možná jo, ale přijde mi to trochu složité.
Tieto priklady cachovania som uvadzal pre pripady dostupnosti sluzby pre klientov a nie prihlasovanie klientov samotnych (kvoli xp home edt.). Ale pri niektorych sa nejedna o abosultne nic komplikovane. caching demon nscd funguje a cachuje bez akejkolvek dodatocnej nevyhnutnej konfiguracie.
Prosím neberte to jako že se zuby nehty bráním LDAPu, jen se snažím najít výhody vs. nevýhody těch dvou základních principů - LDAP vs. generování lokálních souborů z něčeho centrálního. Možná to má být provozované současně, LDAP na autorizaci, centrální konfigurace na vše ostatní. Jak to máte u vás?
Prevadzkujem to naozaj centralne so vsetkym co k tomu patri (prostredie strednej skoly s mnozstvom pocitacov a sluzieb). na sposob ktory tu opisujem. totiz tento sposob vam umoznuje do buducna pridavat dalsie sluzby bez zbytocnych komplikacii cez jednotny komunikacny protkol/pristup a s centralnym uloziskom pouzivatelov (so spravou hesiel) s okamzitou aplikaciou zmien.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.