Есть сеть университета построена на cisco, Linux, FreeBSD. Нет общего каталога и авторизации все пока в проекте и разработке. Появились умники которые активно пиарят идею перехода на Win2003 AD, ISA и все что прилагается. В связи с этим хочется получить информацию о схемах реализации сети в университах страны если можно чтоото из за рубежа, тоже очень хорошо.
>Есть сеть университета построена на cisco, Linux, FreeBSD. Нет общего каталога и
>авторизации все пока в проекте и разработке. Появились умники которые активно
>пиарят идею перехода на Win2003 AD, ISA и все что прилагается.
>В связи с этим хочется получить информацию о схемах реализации сети
>в университах страны если можно чтоото из за рубежа, тоже очень
>хорошо.
вообще конкретики не хватает.. значит в ваших терминах "общий каталог" и "общая авторизация"? будте добры поподробнее, что вам нужно
LDAP тебе поможет
Конкретики: планировалось OpenLDAP и Kerberos для доступа к почте и прочим сервисам. В том то и дело что этих сервисов нет и когда будут не ясно, а про AD говорят что он на все случаи спасение. Какие технолгие можно применить я отчасти представляю. Но сейчас лучше всего было бы получить информацию о том как это сделано либо в крупном росссийском либо зарубежном универе. Что бы можно показать вот так сделали и всем пришла радость.
>Конкретики: планировалось OpenLDAP и Kerberos для доступа к почте и прочим сервисам.
>В том то и дело что этих сервисов нет и когда
>будут не ясно, а про AD говорят что он на все
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Вот здесь и ключ ко всему. Если тянуть воз, что мол когда нибудб, что нибудь такое крутое, что ужас мы сделаем... Тогда точно, выход один - реализовывать все это на винде и не париться. А если не хотите - составляйте план, подавайте руководству и не за чем раздувать лишний флейм. Направление вам дали LDAP, я бы сюда добавил бы еще и Radius. Для авторизации win машин - поднять samba, с авторизацией через LDAP, авторизация nix-ов через LDAP вообще проблемы не составляет при реализации через pam. Cisco чудно понимает radius, радиус работает с LDAP, что еще надо? потом, если не нравиться авторизация по LDAP, можно использовать MySQL - samba/pam/radius тоже работают.
Извините не хочу раздувать флейм, у меня конкретный вопрос кто нибудь может дать инфу о схемах на открытых системах, желательно крупный ВУЗ и информация более менее официальная (URL, доклад где нибудь, статья, а не я слышал что где то чтото сделали)
>Извините не хочу раздувать флейм, у меня конкретный вопрос кто нибудь может
>дать инфу о схемах на открытых системах, желательно крупный ВУЗ и
>информация более менее официальная (URL, доклад где нибудь, статья, а
>не я слышал что где то чтото сделали)Гуманитарный ВУЗ в Украине. Пока 350 машин, еще 450 на подходе.
Примерно планируется такая реализация, как советует Skif, только еще Squid+LDAP.
Если до апреля доживу, сделаю :)
http://directory.fedora.redhat.com/wiki/Main_Page
>http://directory.fedora.redhat.com/wiki/Main_PageЧто бы повторить AD нужно только Samba 4. Но в том то и вопрос нужно ли это повторять поэтому и интересен содания информационных систем ВУЗов желательно с сылками на официальные истоники.
Не совсем понимаю - уже вторая тема с подобными вопросами. А чем вам Виндовз не угодил? Если к университете/конторе пользователи работают только на UNIX-like машинах, то тогда да - сеть только на юниксах имеет логичное объяснение. Но если пользователи сидят на винде - то и AD imho лучше все таки на винде делать...
Принцип простой - не надо изобретать велосипед: делайте так, как проще и логичней.
>Не совсем понимаю - уже вторая тема с подобными вопросами. А чем
>вам Виндовз не угодил? Если к университете/конторе пользователи работают только на
>UNIX-like машинах, то тогда да - сеть только на юниксах имеет
>логичное объяснение. Но если пользователи сидят на винде - то и
>AD imho лучше все таки на винде делать...
>Принцип простой - не надо изобретать велосипед: делайте так, как проще и
>логичней.Полностью поддерживаю +
а кто по Вашему отвечает за компы пользователей ? Сами пользователи ? - так не бывает. Все - равно надо ставить WSUS, сеть должна работать а не пялить пальцы и прозябать, борясь с вирусами и периодическими зависаниями пользовательских компов (о причине отсуствия апдейтов).
+
что-то надо делать с центральным репозиторием анти-вирусного обновления
+
с Win-2003 проще решается вопрос политик безопасности для пользователей (тоже есть о чем подумать) - об административном уровне доступа разговор.
>Полностью поддерживаю +
>
>а кто по Вашему отвечает за компы пользователей ? Сами пользователи ?
>- так не бывает. Все - равно надо ставить WSUS, сеть
>должна работать а не пялить пальцы и прозябать, борясь с вирусами
>и периодическими зависаниями пользовательских компов (о причине отсуствия апдейтов).
>
>+
>
>что-то надо делать с центральным репозиторием анти-вирусного обновления
>
>+
>
>с Win-2003 проще решается вопрос политик безопасности для пользователей (тоже есть о
>чем подумать) - об административном уровне доступа разговор.Какие-то туманные и расплывчатые аргументы.
Советую посетить sysadmins.mail.ru
>
>Какие-то туманные и расплывчатые аргументы.
>Советую посетить sysadmins.mail.ruпонавидался я таких ХуманиТарриеФФ. Вместе с их рекомендациями. Хоть понятие есть сколько трафика экономится если WSUS стоит ? Вот так и пользователей такие приколисти отшивают.
>Полностью поддерживаю +
>
>а кто по Вашему отвечает за компы пользователей ? Сами пользователи ?
>- так не бывает. Все - равно надо ставить WSUS, сеть
>должна работать а не пялить пальцы и прозябать, борясь с вирусами
>и периодическими зависаниями пользовательских компов (о причине отсуствия апдейтов).
В том то и дело что у пользователей есть службы по работе с машинами потому что у каждого 40-50 машин. Говорить о централизваном управление сложно так как у всех сильно разный софт.
>+
>что-то надо делать с центральным репозиторием анти-вирусного обновления
это можно сделать и без домена сервер обновлений домена не требует.
>+
>
>с Win-2003 проще решается вопрос политик безопасности для пользователей (тоже есть о
>чем подумать) - об административном уровне доступа разговор.Наверно проще если это сеть с жесткой вертикалью власти, а если такого нет тогда все сложно становится. Как бы ты отнесся к тому что бы твой провайдер загнал бы тебя в домен?
к вопросу об универах:
http://www.fit.vutbr.cz/CVT/servers.html.utf-8
>к вопросу об универах:
>http://www.fit.vutbr.cz/CVT/servers.html.utf-8ну университет. Ну и как же название факультета звучит ? Информационных технологий. Это совершенно не те финты, что в гуманитарном вузе. Сравнивать вообще не с чем.
>Наверно проще если это сеть с жесткой вертикалью власти, а если такого
>нет тогда все сложно становится. Как бы ты отнесся к тому
>что бы твой провайдер загнал бы тебя в домен?Насколько я понимаю - политика больших сетей на сегодня слегка меняется - единое хранилище паролей-профилей + что-то в духе Альтириса. Причина очень простая - лицензионные ограничения для софта и минимизация затрат в больших организациях на ПОДДЕРЖАНИЕ РАБОТОСПОСОБНОСТИ оборудования. Короче все спорно и решается на месте. Если дирекция предоставила факультету (или сотруднику) рабочий инструмент (компьютер) то она (дирекция) вправе защититься от непредсказуемого незаконного разлива требующего лицензирования софта. Если этого не понимает руководитель компьютерного подразделения - то он просто не на месте.
>Насколько я понимаю - политика больших сетей на сегодня слегка меняется -
>единое хранилище паролей-профилей + что-то в духе Альтириса. Причина очень простая
>- лицензионные ограничения для софта и минимизация затрат в больших организациях
>на ПОДДЕРЖАНИЕ РАБОТОСПОСОБНОСТИ оборудования. Короче все спорно и решается на месте.
>Если дирекция предоставила факультету (или сотруднику) рабочий инструмент (компьютер) то она
>(дирекция) вправе защититься от непредсказуемого незаконного разлива требующего лицензирования софта. Если
>этого не понимает руководитель компьютерного подразделения - то он просто не
>на месте.Насчет центральных есурсов понятно нужны центральные пароли, но когда это сеть более 50 кафедр и НИИ у которых свои счета свои купленые CAD и другой софт (стоимость которых выше любой винды) поэтому у них ни какого желания в общий домен. А вот инфраструктура позволяющая взаимодействовать необходима.
Еще довод лучше за 10К купить сервак более менее чем лицензию на сервак (которого к тому же не хватить)
PS: Посмотри название сайта и перестать рекламировать офтоп
В универах (наших) основная проблема в нехватки спецов, которые будут всё рулить. Под ВыНЬ "спецов" можно быстрее наклепать, так как управление в ней более интуитивно понятно. Кроме того, не всегда учитывается, что ПО нужно покупать, а винда в качестве роутера - Г полное.
Для больших сетей нужно использовать авторизацию по .1x в свитчах - прописал в радиусе где кому ходить - и хрен проломят. Разделять магистрали от факультетских сетей роутерами с дополнительными параметрами балансировки нагрузок и фильтрами.
Кроме того, нужно не забывать, что большенство сетей в универах не просто связные, а образовательные. У меня в универе сетка 15 лет работала (ARCNet). На момент инсталляции - бомба была. И для обучения и для связи. Попробуй, выучи маршрутизацию только под виндой.
Я вообще за интеграцию разных систем - их все знать нужно и использовать каждую в конкретном случае, где она больше всего подходит.
Кроме того, виндовые аптаймы все-равно меньше юниксоидных и аппаратные ресурсы на задачи нужны больше и в винде всё лечится полной переустановкой, потому как ошибка типа "Произошол сбой в сервисе х" говорит о многом. Да и ребут после каждого изминения в винде парит...А спецов по cisco/linux/unix/... можно из внешнего мира брать. Курсов наплодили, хотят читать их в универах - будьте добры, настройте всё сначала, чтобы все поняли, как это всем нужно и полезно.
Если платить деньги - то эксплуатация винды и юниха - примерно одинакова, иногда даже дороже юних получается из-за стоимости работ спецов. Но в универах нужно воспитывать новые поколения спецов, а это почти бесплатно.Вывод:
Каждый д.очит, как он хочет.
Всё. Умолкаю, а то сам разозлился...
Это все понятно, но со спецами проблем нет, только нужно учитывать что они раз в три года меняются и заранеее беспокоиться о новых, а в остальном без проблем. Самое главное много желающих так как старшие товарищи показали, что с хорошими знаниями загранка их ждет.
Насчет интеграции поддерживаю, потому что под виндой много решений которые будут дешевле.
Как сторить сеть я представляю но вопрос в том у кого есть описание того как это сделано.
>Как сторить сеть я представляю но вопрос в том у кого есть
>описание того как это сделано.Есть уже сеть на 350 компов (+400 на походе), 5 разных зданий.
Осталось прикрутить LDAP и интегрировать во все сервисы.
На подходе портальная система с электронным документооборотом.Интересует, какое оборудование и ПО использовано?
>Есть уже сеть на 350 компов (+400 на походе), 5 разных зданий.
>
>Осталось прикрутить LDAP и интегрировать во все сервисы.
>На подходе портальная система с электронным документооборотом.
>
>Интересует, какое оборудование и ПО использовано?Интересно конечно. Насчет моей сетки: сколько компов не знаю (вроде > 1,5K) все раскидано в 12 зданиях в диаметре 20-30 км. Два почтовых сервака, около 10 Web. До этого всех удовлетворяла почта,но проблемы начались когда АСУшники не осилив написание корпоративного софта начали попытки показать свою работу созданием домена на винде с обещанием потом все это быстро заинтегрировать.
Не открою америку если скажу, что такие переходы (в 99% случаев встречаемых мной) завязаны на "бабках", а еще конкретнее на "откатах", и ты хоть костьми ляг, купят сервера, winXXk, и.т.д., и.т.п.. Мой совет "расслабтесь и получите удовольствие", или ищите другую работу, а там тоже-самое. 8(
Винду в бобруйск !!!
Невздумайте покупать какое нить крутое железо с софтиной от мелкомягких ти па екченжа или ИСАы в эти сервера втроена проверка валидности електронных ключей клиентов(активаций винды) причем если ее отключить а это уже из раздела хакинг то вы лишаетесь технической поддержки ... в двух словах вам так или иначе придется полностью лицензировать ваш парк машин причем никс клиенты будут работать с этими серверами нестабильно на что поддержка мелкомяхких будет только криво ухмыляться ...
Э терь изюминка что значит иметь парк из 350-4000 машин это значит от 1 до 20 переустановок винды в сутки - неделю ... мать полетела там винт посыпался юзер стырил пасс админа ... мало ли так вот при замене матери активация слетает и при регистрации онлайн ключик уже некатит и нужно либо регать с новым либо по телефону ... допустим у вас один поставщик железа при большом желании можно будет слить на него проблему при условии что машины берутся в сборе с предустановкой винды ... а если у вас самосбор да еще куча поставщиков которых регулярно приходится менять? Рано или поздно вы придете к тому что на каждую новую установку нужен новый ключ за какийто 60 зверски замученых зеленых перзидентов ...
Поддержите отечественного производителя купите альт линукс (на самый крайний случай :-) ибо фря рулезз форава ...
>Винду в бобруйск !!!
>Невздумайте покупать какое нить крутое железо с софтиной от мелкомягких ти па
>екченжа или ИСАы в эти сервера втроена проверка валидности електронных ключей
>клиентов(активаций винды) причем если ее отключить а это уже из раздела
>хакинг то вы лишаетесь технической поддержки .Ты меня за советскую власть не агитируй я за нее.... Я все понимаю, но нужна ссылка на что нибудь работающее. Сегодня в ньюсах прошло сравнение совокупной стоимости достаточно полезно. ASP покупать не хочу ФРЯ и Федора вроде дружат достаточно хорошо (сетке в этом году будет 11лет)
>В связи с этим хочется получить информацию о схемах реализации сети
>в университах страны если можно чтоото из за рубежа, тоже очень
>хорошо.
http://lists.altlinux.ru/pipermail/freeschool/2005-October/0...Свою сеть перевожу на edubuntu
http://www.edubuntu.org/
От ISA отказался в пользу freebsd.
>Свою сеть перевожу на edubuntu
>http://www.edubuntu.org/
>От ISA отказался в пользу freebsd.Сервера на FreeBSD 6.1
Рабочие станции переводятся на DeepStyle (deepstyle.org.ua)
Для учебного процесса оставляем Винду (покрывается лицензией MSDN), на этих же станциях ставим DeepStyle.
Почта с IMAP/IMAPs.
Устанавливается центр PGP-ключей.
Постепенно списываем разнокалиберный парк принтеров.
Мое хозяйство:
~300 машин на 2000 и XP, 1 почтовик на FreeBSD5.4+Exim4.60+Courier-POP3, 1 сервер FreeBSD 5.4 + MySQL для почтовой авторизации и хранения статистики, 1 сервер на FreeBSD5.4+Sendmail для почтовой рассылки, 1 сервер на Novell под файлопомойку, 1 сервер на Windows 2003+AD для MSSQL. Novell, в последствии, как я надеюсь, станет W2K3+AD со всеми вытекающими.Хозяйство соседей:
~700 машин на XP, 1 W2K3+MSExchange, 1 W2K3+ISA, 1 W2K3+DC, 1 W2K3+DC+AD, 1 W2K3 под хранилище данных с сертификатом от Alladin. Сервера за год перегружались лишь однажды, когда переносили шкаф в другое здание. Управляет всем этим мой знакомый, который MCSE.То есть все зависит лишь от мастерства человека. Достали уже споры о том, что лучше "Windows или Unix", "FreeBSD или Linux".
А оценивать необходимость того или иного ПО нужно из возможностей финансовых+трудозатраты+..... Нет универсального решения.
>Хозяйство соседей:
>~700 машин на XP, 1 W2K3+MSExchange, 1 W2K3+ISA, 1 W2K3+DC, 1 W2K3+DC+AD,
>1 W2K3 под хранилище данных с сертификатом от Alladin. Сервера за
>год перегружались лишь однажды, когда переносили шкаф в другое здание. Управляет
>всем этим мой знакомый, который MCSE.
>
>То есть все зависит лишь от мастерства человека. Достали уже споры о
>том, что лучше "Windows или Unix", "FreeBSD или Linux".
:)) Если мне не изменяет память, то компания Микрософт выпускает обновления, требующие перезагрузки компьютеров :)) В том числе и серверов. Так что сервера либо все таки перегружаются чаще, либо одно из двух ;)