AbcLinuxu:/ Poradna / Linuxová poradna / Centrální správa uživatelů ve firmě

Štítky: CIFS, Debian, distribuce, Internet, konfigurace, LDAP, Linux, NFS, online, přihlášení, síť, souborové systémy, správa, textové editory, Vim, Windows

Dotaz: Centrální správa uživatelů ve firmě

26.11.2010 12:07 dustin | skóre: 63 | blog: dustin
Centrální správa uživatelů ve firmě

Přečteno: 802×

Odpovědět | Admin

Zdravím,

na toto téma je napsáno spoustu moudrých statí i knih, leč chtěl bych se zeptat na konkrétní zkušenosti. Aktuální stav v malé firmě:

Klienti - mix winxp + linux Servery - debian Používané síťové protokoly - cifs, nfs

Centrální správa uživatelů - žádná :-)

Takže zavedení nového člověka obnáší adduser + smbpasswd na několika serverových strojích a jeho klientovi. Bohužel se to zkomplikovalo NFS, které vyžaduje synchronizaci UID/GID, což už je opravdu příliš pracné.

Ale nechce se mi do čistě síťového řešení, které pro přihlášení vyžaduje funkční síť, připojení k LDAP serveru atd. Nepotřebujeme centrální autorizaci do windows, stejně máme většinou XP Home, které doménu snad ani neumí :-)

Nakonec by mi stačila centrální primární DB uživatelů + UID a skupin + GID, ze které by se aktualizovaly lokální /etc/{passwd,group,shadow} + konfigurace samby. Je ale potřeba vyřešit odloženou aktualizaci klientů, které zrovna v době změny nebyly online. Já vím, že to vše lze vyřešit DIY skripty, ale ty jako poslední varianta neutečou :-)

Předem díky moc za nápady, náměty, zkušenosti. Moc by se mi líbilo nějaké jednoduché průhledné řešení, ale které má již někdo vyzkoušené v praktickém nasazení :-)

Nástroje: Začni sledovat (3) ?

Odpovědi

29.11.2010 13:29 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

Vážně nikdo takovou základní věc ve firmě neřešil? Našel jsem redhatí Free IPA, trochu mi to přijde jako overkill, ale možná je to správná cesta. Nechal bych si něco doporučit :-)

29.11.2010 14:04 yossi | blog: Q_and_A | Ba'aretz
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

Na linux stroje by som odporúčal Puppet. Ja to používam tiež ako doménu pre chudobného (okrem iného). Teoreticky by to mohlo fungovať i pre Windows. Ako by však mal vyzerať modul pre User/auth na Windows netuším.

29.11.2010 14:37 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

Díky moc za tip, to vypadá zajímavě. Nastuduji a dám vědět :)

29.11.2010 14:21 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

Nakonec by mi stačila centrální primární DB uživatelů + UID a skupin + GID, ze které by se aktualizovaly lokální /etc/{passwd,group,shadow} + konfigurace samby. Je ale potřeba vyřešit odloženou aktualizaci klientů, které zrovna v době změny nebyly online. Já vím, že to vše lze vyřešit DIY skripty, ale ty jako poslední varianta neutečou

NIS resp NIS+, ona sluzi primarne na synchronizovanie vami spominanych (a aj dalsich) suborov. Je ale tiez fakt, ze tymto nezosynchronizujete sambacku DB a tiez to, ze NIS je sluzba stara ako republika, uz malo nasadzovana a malo bezpecna. Riesenim je bud nejake solution ako uz bol spomenuty FreeIPA (ale neviem ako je to s poskytovanim UID/GID), alebo riesenie s LDAP databazou (kompatibilne s posix standardom), ktora je central aj pre sambu. Nic rozumnejsie myslim nenajdete.

30.11.2010 10:19 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

Díky za odpověď. NIS(+) mi přijde overkill a opravdu se zdá být historií. LDAP je standard, ale raději bych dal přednost řešení nezávislému na aktuálním stavu sítě. Servery/pracovní stanice jsou ve více lokalitách propojených relativně nespolehlivou VPN. Zatím se mi stále zdá jako nejvhodnější systém, který by centrálně spravoval/sjednocoval lokální konfigurace jednotlivých strojů - tedy princip toho puppetu a podobných řešení. Ale zatím ani do těchto řešení moc nevidím :)

30.11.2010 10:39 yossi | blog: Q_and_A | Ba'aretz
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

Rozchodiť puppet je otázka jedného dňa aj s čítaním dokumentácie. Napísať svoje moduly a templates je už iná otázka. :)

30.11.2010 11:22 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

Díky za povzbuzující zprávu :)

30.11.2010 10:40 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

Nespolehliva VPN neni az takovy problem.
V podstate si na kazdem serveru resp. v kazde lokaci muzete nainstalovat read-only repliku LDAP databaze. Moc zmen se v ni krome zmeny hesel obvykle nedela, takze ztrata spojeni s master serverem nevadi.
Nastavit pro autorizaci dva LDAP servery je take pomerne bezne.

30.11.2010 11:23 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

To jo, ale rád bych, aby se šlo přihlásit na klientskou stanici i při spadlém síťovém serveru s replikou LDAPu. Zatím nepotřebujeme síťové přihlašování, tak proč dobrovolně zavádět další vrstvu nespolehlivosti a problémů :)

30.11.2010 11:34 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

Protoze "zatim nepotrebujeme" vetsinou znamena "ted jsem to v rychlosti ohakoval a za rok to stejne predelam na LDAP". Jenze za ten rok pribudou dalsi a dalsi systemy, ktere budete muset prekonfigurovat (mail, jabber, wiki, dochazkovy system,..).

30.11.2010 12:11 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

Jistě, dočasná řešení mívají nejdelší život :-)

Ne, vážně, centrální evidence uživatelů/skupin je mou základní motivací. Ale jaká je výhoda ldapu vs. evidenční DB plus jednoduché vrstvy generující lokální konfigy, což by měl dělat ten puppet/cfengine/chef (už to chvilku studuju :) )?

Nevím, proto se ptám a rád se nechám poučit :-)

30.11.2010 11:43 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

tym ze si zabezpecite replikaciu si vlastne tiez zabezpecite vysoku dostupnost (a moznost sa odkazovat na viacere LDAP servery). Riesenie nezavisle na sieti ma sice skoro 100% dostupnost, ale:

v pripade nedostupnosti siete sa nielenze nepripojite na LDAP server, ale (pravdepodobne) sa nepripoja ani klienti napr. na sambu (samozrejme zavisi to od konkretneho pripadu, teraz to vsak globalizujem)
v pripade zvacsovania poctu strojov sa stava synchronizacia do buducnosti (asi) nocnou morou (nehovoriac o tom, ze na roznych distribuciach mozu mat systemovi usery rozne UID/GID cisla, ale taktiez ze na roznych distribuciach su rozne pomenovani (www-data vs. apache a pod.), takze v pripade heterogennej linuxovej infrastruktury ta cista synchronizacia passwd/shadow/group.. suborov zas az tak jednoducha nije)
dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.

30.11.2010 12:21 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

v pripade nedostupnosti siete sa nielenze nepripojite na LDAP server, ale (pravdepodobne) sa nepripoja ani klienti napr. na sambu (samozrejme zavisi to od konkretneho pripadu, teraz to vsak globalizujem)

Ale mohou se aspoň přihlásit a pracovat lokálně, třeba naši vývojáři nepotřebují permanentní přístup na síťové služby.

v pripade zvacsovania poctu strojov sa stava synchronizacia do buducnosti (asi) nocnou morou

Jak jsem pochopil, právě toto by ty systémy na centralizovanou správu konfigurace měly především řešit. Údajně desítky tisíc strojů je běžné.

nehovoriac o tom, ze na roznych distribuciach mozu mat systemovi usery rozne UID/GID cisla, ale taktiez ze na roznych distribuciach su rozne pomenovani (www-data vs. apache a pod.), takze v pripade heterogennej linuxovej infrastruktury ta cista synchronizacia passwd/shadow/group.. suborov zas az tak jednoducha nije)

Toho jsem si vědom a proto to nechci řešit vlastními skripty. Předpokládám (možná bláhově), že právě toto řeší "chytrost" třeba toho puppetu. Navíc jak by mi LDAP pomohl s různými názvy "systémových" uživatelů na různých distribucích? Nevím, přijde mi jednodušší nějaké logika, která sama pozná typ distribuce a dle toho volí název uživatele. A to ty výše uvedené systémy asi už umí.

dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.

Něco takového se v sítích s ldapí autorizací vážně na všech klientech provozuje? Možná jo, ale přijde mi to trochu složité.

Prosím neberte to jako že se zuby nehty bráním LDAPu, jen se snažím najít výhody vs. nevýhody těch dvou základních principů - LDAP vs. generování lokálních souborů z něčeho centrálního. Možná to má být provozované současně, LDAP na autorizaci, centrální konfigurace na vše ostatní. Jak to máte u vás?

30.11.2010 12:30 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
Něco takového se v sítích s ldapí autorizací vážně na všech klientech provozuje?

Tohle dělá např. SSSD.

30.11.2010 13:09 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Centrální správa uživatelů ve firmě

v pripade nedostupnosti siete sa nielenze nepripojite na LDAP server, ale (pravdepodobne) sa nepripoja ani klienti napr. na sambu (samozrejme zavisi to od konkretneho pripadu, teraz to vsak globalizujem)
Ale mohou se aspoň přihlásit a pracovat lokálně, třeba naši vývojáři nepotřebují permanentní přístup na síťové služby.

Pre lokalne prihlasenia userov to je nasledovne:

spominali ste ze sa vacsinou pouzivaju Windows XP Home, ktore domenu nepodporuju, takze v tomto pripade by ziadna zmena nenastala
a aj keby ste mali system schopny pripojit sa do domeny tak aj v pripade nedostupnosti sluzby by sa clovek na stroj dokazal pripojit: Windows cachuju poslednych 10(?) uspesnych prihlaseni a naloguju vas aj ked domena je nedostupna. Pre linux by sa uz pouzival spominany cachovaci demon (nscd, sssd, pripadne cacheovanie na urovni PAM)

v pripade zvacsovania poctu strojov sa stava synchronizacia do buducnosti (asi) nocnou morou
Jak jsem pochopil, právě toto by ty systémy na centralizovanou správu konfigurace měly především řešit. Údajně desítky tisíc strojů je běžné.

Ano, avsak ja som pri tom dosledku vychadzal s vami prezentovanej "centralizovanej spravy", kde sa synchronizuju passwd/... subory. Pri tej skutocnej to tak naozaj plati ako ste to teraz napisali (a to je ta, ktora vam je tu ponukana).

nehovoriac o tom, ze na roznych distribuciach mozu mat systemovi usery rozne UID/GID cisla, ale taktiez ze na roznych distribuciach su rozne pomenovani (www-data vs. apache a pod.), takze v pripade heterogennej linuxovej infrastruktury ta cista synchronizacia passwd/shadow/group.. suborov zas az tak jednoducha nije)
Toho jsem si vědom a proto to nechci řešit vlastními skripty. Předpokládám (možná bláhově), že právě toto řeší "chytrost" třeba toho puppetu. Navíc jak by mi LDAP pomohl s různými názvy "systémových" uživatelů na různých distribucích? Nevím, přijde mi jednodušší nějaké logika, která sama pozná typ distribuce a dle toho volí název uživatele. A to ty výše uvedené systémy asi už umí.

riesi sa to jednoducho, zoznam userov s LDAPu sa povazuje ako doplnkovy zoznam k lokalnym passwd/shadow/group/sgroup suborom. to znamena ze v LDAPe drzite len realnych userov a systemovi stale ostavaju (udrzovani) v lokalnych suboroch.

dalsou vecou je pouzivanie nejakeho cachovacieho demona, ktory aj v pripade vypadku adresarovej sluzby drzi informacie za poslednych X hodin a tym vlastne zabezpecuje (relativnu) dostupnost sluzby, takze aj v pripade vypadku by bola sluzba k dispozicii.
Něco takového se v sítích s ldapí autorizací vážně na všech klientech provozuje? Možná jo, ale přijde mi to trochu složité.

Tieto priklady cachovania som uvadzal pre pripady dostupnosti sluzby pre klientov a nie prihlasovanie klientov samotnych (kvoli xp home edt.). Ale pri niektorych sa nejedna o abosultne nic komplikovane. caching demon nscd funguje a cachuje bez akejkolvek dodatocnej nevyhnutnej konfiguracie.

Prosím neberte to jako že se zuby nehty bráním LDAPu, jen se snažím najít výhody vs. nevýhody těch dvou základních principů - LDAP vs. generování lokálních souborů z něčeho centrálního. Možná to má být provozované současně, LDAP na autorizaci, centrální konfigurace na vše ostatní. Jak to máte u vás?

Prevadzkujem to naozaj centralne so vsetkym co k tomu patri (prostredie strednej skoly s mnozstvom pocitacov a sluzieb). na sposob ktory tu opisujem. totiz tento sposob vam umoznuje do buducna pridavat dalsie sluzby bez zbytocnych komplikacii cez jednotny komunikacny protkol/pristup a s centralnym uloziskom pouzivatelov (so spravou hesiel) s okamzitou aplikaciou zmien.

Založit nové vlákno • Nahoru

Tiskni Sdílej: