Správa uživatelů v síti (diskuse)

Mno nevím no, Mám raději standardizované systémy založené na něčem notoricky známém - třeba LDAP+Kerberos. U nás máme taky Active Directory a s Win2003 RC2 už můžete ukládat Unixové uživatele bezbolestně. Buhužel Unix nic tak elegantního jako AD dosud nemá - a je to škoda. Ale to je věc názoru.

13.12.2006 08:56 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Správa uživatelů v síti

...LDAP - ne vždy je možné centralizovat uživatelské účty do nějakého adresáře, ať už je to technický problém nebo bezpečnostní. IDM také umožňuje automatizaci práce, takže spousta věcí jde úplně mimo admina (řekl bych, že hlavně kvůli tomu se IDM nasazuje). Velká část práce admina se přenese na personální (automatické vytažení dat o novém uživateli z db), vedoucího oddělení nového zaměstnance a podobně. Admin koncového systému akorát přes web odsouhlasí založení nového člověka případně mu ještě předtím doladí parametry účtu. Kromě automatizace zakládání se samozřejmě řeší takové věci jako je korektní odejití člověka ze sítě (smazání, blokace, přesun účtu), přejmenování člověka a tak dále. V dalším dílu se o tom trochu víc rozepíšu.

...Kerberos - SUN Identity Manager neimplementuje jednotné ověřování uživatelů (SSO) v síti.

V tomto seriálu nebudu řešit AD vs klasický UNIX. Identity Manager toto vůbec neřeší.

-- Nezdar není hanbou, hanbou je strach z pokusu.

Existuje možnost instalace z příkazové řádky? Já osobně třeba na serverech Xserver vůbec nemám… K samotnému obsahu – nebylo by vhodnější nejdříve napsat, k čemu vlastně aplikace slouží, v čem se třeba liší od řešení postaveném nad OpenLDAP? Postup, jak aplikaci instalovat, je sice hezký, ale přece si nebudu instalovat něco, o čem nevím, k čemu mi to bude…

13.12.2006 09:07 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Správa uživatelů v síti

Forwadnout Xka skrz ssh? Úvodní instalaci je možné provést na jiném stroji a adresář na server nakopírovat případně si připravit war a ten použít. Připojení na DB jde nastavit z příkazového řádku utilitou lh přes parametr setRepo (snad se nepletu, nepotřeboval jsem to nikdy).

Popis funkce jsem odložil do dalšího dílu, byla to chyba.

IDM slouží pro automatizaci správy uživatelských identit v celé síti a to bez výrazných zásahů do fungování stávajících systémů. Proti IDM se nic neověřuje, nefunguje jako online zdroj dat o uživatelích pro aplikace. IDM zakládá uživatele v koncových systémech pomocí jejich nativních nástrojů/protokolů (unixy, as400, ldap, MS AD, databaze,...). Pro použití IDM není nutné nějak výrazně měnit nastavení koncových systémů (je třeba přidat uživatele a přidělit mu dostatečná práva).

-- Nezdar není hanbou, hanbou je strach z pokusu.

13.12.2006 09:28 Michal Ludvig | skóre: 16
Rozbalit Rozbalit vše Re: Správa uživatelů v síti

Prima! Tohle ale melo byt hned jako prvni odstavec clanku a ne zahrabane nekde v diskuzi ;-)

Taky jsem ten clanek jen prolitnul hledajic kdese dozvim co to IDM vlastne je a k cemu by mi to mohlo byt. Snad bude v pristim dilu par praktickych ukazek...

13.12.2006 11:47 r
Rozbalit Rozbalit vše Re: Správa uživatelů v síti

no takze jestli tomu dobre rozumim tak stejne budu muset nainstalovat LDAP a identity manager mi akorat bude slouzit jako lepsi rozhrani ke vkladani uzivatelu:)

13.12.2006 12:47 Ludek
Rozbalit Rozbalit vše Re: Správa uživatelů v síti

Pro jeden LDAP to jistě valný smysl nemá. Jakmile však máte několik systémů (LDAP pro UNIX, AD pro Windows, databázi v proprietární aplikaci, mainframe a mnoho dalsich) a navíc pro každý systém podléhá přidělení účtu a oprávnění specifickému schvalovacímu kolečku a to všechno řešíte pro 300+ uživatelů ... IM se svými podpůrnými nástroji přijde vhod.

Je nejaky dovod preco kazdy paragraf ma "link" ? Ma to nejaku chybu ak sa urobi jednoducho

<H3 id="2.3. Instalace">2.3. Instalace</H3> ?

13.12.2006 12:28 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Správa uživatelů v síti

1. identifikator v XML nesmi zacinat cislici, takze pri automatickem generovani by se to muselo necim prefixovat

2. Uzivatel chtejici odkazat na cast clanku by musel hledat id ve zdrojakach, protoze soucasne prohlizece ho neumi na nej upozornit.

opravte si ty "obědnávky obědů"

Nějaký identity manager bych si dal líbit, ale kde sehnat agenty pro Firebird/Ibase nebo Paradox7 ??

13.12.2006 23:50 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Správa uživatelů v síti

Pokud je na nějako db možné jdbc připojení, tak se dá použít buď dodávaný obecný adaptér pro připojení k databázové tabulce, nebo jdbc scripted adapter nebo se dá podle dodávané šablony napsat vlastní adaptér. Agenti (program běžící na straně spravovaného serveru) se v tomto IDM používají minimálně, prakticky jen v případě MS AD.

-- Nezdar není hanbou, hanbou je strach z pokusu.

14.12.2006 16:55 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: Správa uživatelů v síti

opravte si ty "obědnávky obědů"

Sorry, to mi proklouzla opravdu roztomile příšerná chyba.

Z techto clanku mam vzdy velkou radost. Je to spravny krok smerem od bulvaru a posouva to latku abicka jeste vyse. Jedna se o narocny soft a hlavne je to neco, co hybe trhem dnesniho IT vedle storage a bezpecnosti. Sice si to kazdy doma na sve PIII nenainstaluje, ale ten segment zajemcu muze byt i tak velky. Diky.

twitter.com/FilipKorbel chilli addict

16.1.2007 15:12 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Skvely obsah

Na své PIII si to určitě může nainstalovat kdokoliv, stačí mít k dispozici trochu paměti.

-- Nezdar není hanbou, hanbou je strach z pokusu.