Анонсирован (http://www.mail-archive.com/fedora-announce-list@redhat...) выход LDAP-совместимого сервера службы каталогов Fedora Directory Server 1.1 (http://directory.fedoraproject.org/), основанного на исходных текстах Netscape Directory Server.
В новой версии реализована возможность автоматической генерации UID и GID номеров (работает при "multi-master" репликации); основные компоненты сервера разделы и оформлены в виде отдельных пакетов; изменена команда установки - /usr/sbin/setup-ds-admin.pl; вместо команды startconsole нужно использовать /usr/bin/fedora-idm-console.Из возможностей Fedora Directory Server можно отметить "multi-master" систему репликации данных, шифрование данных в хранилище и при передаче (SSLv3, TLSv1, SASL), поддержка расширений из LDAPv3, гибкие ACL, высокая производительность (тысячи операций в секунду, десятки тысяч одновременно работающих пользователей в сети, десятки миллионов аккаунтов, сотни гигабайт данных в хранилище),
URL: http://www.mail-archive.com/fedora-announce-list@redhat...
Новость: http://www.opennet.me/opennews/art.shtml?num=13575
Отличная новость!
=Гибкие ACL= в новости - это про:=On-line, zero downtime, LDAP-based update of schema, configuration, management and in-tree Access Control Information (ACIs)= ?
Или все-таки про =что-то=, что связано с групповыми политиками и прочим, действительно необходимым в подобного рода сервисе?
Групповые политики нужны исключительно для убогих Windows клиентов. Не путайте LDAP каталог и обставленное костылями поделие под названием Active Directory.
>Групповые политики нужны исключительно для убогих Windows клиентов. Не путайте LDAP каталог
>и обставленное костылями поделие под названием Active Directory.Собственно, это реплика по какому поводу была? Вы, собственно не путаете GP с самим LDAP-сревером? Это немного разные вещи. Каково ни было ваше отношение к AD, но это LDAP, своеобразно сделанный, но каталог.
>Групповые политики нужны исключительно для убогих Windows клиентов. Не путайте LDAP каталог
>и обставленное костылями поделие под названием Active Directory.иногла лучше молчать чем писать ахинею
Почему же ахинею, конечно, скорее всего написавший мало представляет что такое GP в промышленном окружении, но общую идею он сформулировал верно. Это вообще то полный бред покупать систему, а потом планомерно и централизовано её херить, сама идеалогия, лежащая в основе метода, ущербна, на мой взгляд. Просто теперь вполне можно строить корпоративную систему без деления её на доверенный периметр и прочий мир. Потому что никакого доверенного периметра не бывает, а поддерживать его слишком накладно и неэффективно.
GPO это просто приделывание маленьких колёсиков с огромному чемода с хламом под названием Windows, кто поглупее радуются, что теперь хлам возить легче, а кто поумнее уже давно задаются вопросом "а нафига нам собственно сам хлам нужен".
>[оверквотинг удален]
>в промышленном окружении, но общую идею он сформулировал верно. Это вообще
>то полный бред покупать систему, а потом планомерно и централизовано её
>херить, сама идеалогия, лежащая в основе метода, ущербна, на мой взгляд.
>Просто теперь вполне можно строить корпоративную систему без деления её на
>доверенный периметр и прочий мир. Потому что никакого доверенного периметра не
>бывает, а поддерживать его слишком накладно и неэффективно.
>GPO это просто приделывание маленьких колёсиков с огромному чемода с хламом под
>названием Windows, кто поглупее радуются, что теперь хлам возить легче, а
>кто поумнее уже давно задаются вопросом "а нафига нам собственно сам
>хлам нужен".просто смешно читать такое
"кто поумнее уже давно задаются вопросом "а нафига нам собственно сам
хлам нужен" - и ставят еще больший хлам в виде Fedora Directory Server, в котором только сейчас,судя по новости,появились multi master replication и шифрование данных.
>просто смешно читать такое
>"кто поумнее уже давно задаются вопросом "а нафига нам собственно сам
>хлам нужен" - и ставят еще больший хлам в виде Fedora Directory
>Server, в котором только сейчас,судя по новости,появились multi master replication и
>шифрование данных.Смешливый какой. Просто в *никс можно обойтись без тотального управления всем на пользовательских компьютерах, а использовать менее громоздкую и более элегантную и не такую затратную архитектуру. Более того, я уверен, что и Смешливый, хоть и пытается что-то тут выдать, а в AD не разбирается ничуть и правильно делает -- такого маркетологами наворочено.
>[оверквотинг удален]
>>"кто поумнее уже давно задаются вопросом "а нафига нам собственно сам
>>хлам нужен" - и ставят еще больший хлам в виде Fedora Directory
>>Server, в котором только сейчас,судя по новости,появились multi master replication и
>>шифрование данных.
>
>Смешливый какой. Просто в *никс можно обойтись без тотального управления всем на
>пользовательских компьютерах, а использовать менее громоздкую и более элегантную и не
>такую затратную архитектуру. Более того, я уверен, что и Смешливый, хоть
>и пытается что-то тут выдать, а в AD не разбирается ничуть
>и правильно делает -- такого маркетологами наворочено.Если не сложно, можете описать эту самую мне "менее громоздкую и более элегантную и не
такую затратную" архитектуру...
На личности в бане переходить будете.
Можно обойтись конечно...по схеме юниксвея - "один сервер с краю - ничего не знаю". И затраты не такие больше и схема элегантная и админ при делах.
Да, хотя бы так. Получается в сотни раз (именно в сотни) менее затратно, чем закупать, внедрять и эксплуатировать мешок контроллеров доменов, зоопарк из групповых политик, шаблонов безопастности и прочей мишуры, ради того, чтоб сотня другая юзеров могли попользоваться вордом с экселем ну и какую-нибудь клиент-серверную рукоблудину запустить, написаную "на си плюс плюс" красноглазым студентом-недоучкой. А что-то большее Вин-системе всё равно не под силу (вернее под силу конечно, но цена получится как полёт на марс и вознаграждение консультантов и админов будет как раз как зарплата роты космонавтов).
Да-да-дадд :)Совсем недавно такие же красноглазые голосили "АД - не нужен!" И что - ныне тренируются какой из клонов АД круче :) И не надо ля-ля - федорино-адо - это песня по мотивам :)
Терерь очередь за гпо - Кирилл начинай копить аргументы "за" - в следуюшей версии будет аналог гпо - чего тогда петь будешь :)Далее по тексту - это только в сказках от больших и голубых бывает вся инфраструктура на одном большом холодильнике, плавали - знаем :)
Ну и еще по повоу "А что-то большее Вин-системе всё равно не под силу" - следует читать - "А что-то большее Кириллу всё равно не под силу" - не обижайся ничего личного. Ибо смотря на ворд-вайд сети построенные на MS AD - чего остается думать? Я учавствовал в создании одной сети в 2002 - ~60000 живых юзерских аккаунтов - живут и счастливы. Если бы тендер был сейчас - победила бы новель с NDS - но тогда они были почти трупы. Кстати - ндс лучше в техническом плане. Но без IDM - это просто "LDAP навароченный" с ссл ка, реплками и т.д. А с идм (лицензия на который была от 70Кзелени) ... не все могут себе позволить ,)
Очень хорошо что стали появляться открытые ДС! Оно _нужно_ чего бы тут не говорилось.
GR.
>Я учавствовал в создании одной сети в 2002 - ~60000 живых ...вот и хоца услышать - пардоньте - на койляд это сгондыбали и как это дело обслуживается?
возмем васю из москвы, кот. захотел шару в ландоне и на ней каталог...
тока бяда - "никто" не знает (окромя участников "процесса") - чё ентот каталог делает (шарит). Пишем реквесты их апрувят
где "никто" - аутотсос, и оно действительно не знает, мало того оно наняло адскогоодмина из "индусии" (в целях экономии ;)афигительно нужный сервис - гы-гы
"так и живем" - датацентры с бардаком прав и битыми репликациями, кот. этиже права и корячат
бесспорно - "медальку" а мобуть и орден за подвиг по развертыванию подобного МСглюкала получили причастные и неочень, вот тока жить от того легче не стало ;)
А подумать - больно да?
Вот вы описали какой у _вас_ мрачный бардак, но с чего вы взяли что так - везде?! При таком бардаке ничего не поможет, ни МСАД, ни ФОД, ни НДС :( Рзаве что 3 года расстрела для IT Manager'a %)Повторюсь - я не фанат именно M$AD, но каталоги - _нужны_. Без них с оффтопиком спорить гораздо труднее .....
GR.
Вы, батенька, звездобол обыкновенный, не способный на большее, чем жонглировать тут бессмысленными аббревиатурами. Куда вы там плавали неизвестно.Можно ли построить распределённые сети на решениях от МС, используя, в том числе, и АД? Да, конечно. Но затраты будут избыточны. Пытаться же к *никс архитектуре привернуть аналоги Групповых политик, на мой взгляд, это глупость. К тому же как это будет выглядеть? GPO от МС просто хранит набор параметров реестра, а что будет использоваться в этом качестве для *никс? И самый главный вопрос, зачем это нужно?
Ещё и по АйБиЭм умудрились проехаться. Я уверен, вы не видели ни разу ни одной системы, построенной на их идеалогии, таких даунов просто к ним не подпускают. А решение эти фантастически эффективны в своей нише.
>Можно ли построить распределённые сети на решениях от МС, используя, в том
>числе, и АД? Да, конечно. Но затраты будут избыточны.Цитирую: "Вы, батенька, звездобол обыкновенный, не способный на большее"
Или расшифруйте про избыточность.>Пытаться же к *никс архитектуре привернуть аналоги Групповых политик, на мой взгляд, это глупость.
Возможно. А возможно и нет.
>К тому же как это будет выглядеть? GPO от МС просто хранит набор
>параметров реестра, а что будет использоваться в этом качестве для *никс?Если вы понимаете под словосочетанием "аналог GPO" именно полный аналог - та соглашусь, это - глупость. По-хорошему там ценна только идея - сетевые политики, причем override'ящие полиси бокса. Ну а как оно будет реализовано - дело реализаторов (XML?)
>И самый главный вопрос, зачем это нужно?
А вы вообщето знаете что это такое - GPO? А то мало ли :)
>Ещё и по АйБиЭм умудрились проехаться. Я уверен, вы не видели ни
>разу ни одной системы, построенной на их идеалогии, таких даунов просто
>к ним не подпускают.Ох уж эти сказочники :) Я вообшето кроме работы даже дома один аих держу и даже с тиволи :) А вы? :) Вот тото и оно - не спорьте о вкусе устриц ....
>А решение эти фантастически эффективны в своей нише.
Цитирую снова: "Вы, батенька, звездобол обыкновенный"
Или расскажите нам про те нищи ... да не осилите боюсь ,) Я кстати могу рассказать где голубых можно юзать. Да вот только в рассказе ни про АД ни про другие каталоги ничего не будет ,)
Когда у тебя нет денег, есть два выхода объяснить ситуацию: не смог заработать или - нафиг мне деньги не нужны. Может быть windows клиенты и убогие. Не знаю. Но на GP у заказчиков есть спрос. И объяснением =убогости= представлений заказчика отсутствие GP в линуксе не перекрыть.Согласен, что если корпоративная система построена так, что обходится без GP - это почетно. А как там система отдает файл девяти юзерам из разных групп, а десятому - запрещает - неважно. Наверное =заводит= еще одну группу, в которую входят эти девять юзеров? А, может быть, этого и вовсе не нужно. Скорее всего я что-то пропустил.
Просто я думал, что через FDS можно как-то ACL-ами управлять. Нельзя? Ну и ладно.
>[оверквотинг удален]
>перекрыть.
>
>Согласен, что если корпоративная система построена так, что обходится без GP -
>это почетно. А как там система отдает файл девяти юзерам из
>разных групп, а десятому - запрещает - неважно. Наверное =заводит= еще
>одну группу, в которую входят эти девять юзеров? А, может быть,
>этого и вовсе не нужно. Скорее всего я что-то пропустил.
>
>Просто я думал, что через FDS можно как-то ACL-ами управлять. Нельзя? Ну
>и ладно.Вы данном случае путаете GPO и Шаблоны безопастности. GP не работают с файловой системой и ACL никак управлять через GP не получиться.
>А как там система отдает файл девяти юзерам из
>разных групп, а десятому - запрещает - неважно. Наверное =заводит= еще
>одну группу, в которую входят эти девять юзеров? А, может быть,
>этого и вовсе не нужно. Скорее всего я что-то пропустил.Abu, GPO не привязываются к группам, только к контейнеру Сайта, Домена или Организационному подразделению (можно извратиться, опять же, через ACL самого GPO). Так что описанная тобой ситуация не показательна.
>>А как там система отдает файл девяти юзерам из
>>разных групп, а десятому - запрещает - неважно. Наверное =заводит= еще
>>одну группу, в которую входят эти девять юзеров? А, может быть,
>>этого и вовсе не нужно. Скорее всего я что-то пропустил.
>
>Abu, GPO не привязываются к группам, только к контейнеру Сайта, Домена или
>Организационному подразделению (можно извратиться, опять же, через ACL самого GPO). Так
>что описанная тобой ситуация не показательна.это не изврат а официальное документированное решение - назначать через GPO Security для каких групп (и юзеров) будет применятся данный GPO
>это не изврат а официальное документированное решение - назначать через GPO Security
>для каких групп (и юзеров) будет применятся данный GPOЭто изврат, о чём не двусмысленно написано в гидах по внедрению, начиная с появления GP.
GPO не применяется на уровне групп (единственная возможность добиться применения к отдельным группам это использовать выделеные права ACL GPO-объекта, но это негибкое и нежелательное решение). Для GPO нет никаких групп, есть только сайт, домен и оп.
Кирилл (:Я не силен в терминологии, да. Вот сходил на википедию и получил следующее:
подтверждение ваших слов:
=After a GPO has been created it can be linked to an Active Directory site, domain or OU (Organizational Unit). It is most common for GPOs to be linked to OUs.=
и замечание:
=User and computer objects may only exist once in the Active Directory but often fall into the scope of several GPOs. The user or computer object applies each applicable GPO. Conflicts between GPOs are resolved at a per attribute level.=
То есть, я правильно понимаю, что GPO так или иначе связана с AD? И все-таки =user and computer
often fall into the scope of several GPOs= ?Почему бы тогда FDS или какому-нибудь LinuxDS тоже не быть связанным с некоей Linux GPO? Ваш аргумент:
=GPO от МС просто хранит набор параметров реестра, а что будет использоваться в этом качестве для *никс? И самый главный вопрос, зачем это нужно? =
То есть - GPO в линуксе без надобности?
Вот у меня есть реальная задача:
нужно в классе компьютерном логиниться студентам разных групп, с условием, чтобы было несколько разных загружаемых профилей в зависимости от группы. То есть группа юзеров =А= может заходить с профилем со всеми правами, группа =Б= - вообще без логина может заходить, группа =Д= - загружать не перемещаемый профиль с NFS, а некий гостевой и тп.
В винде это решается GPO. Как решить в линуксе? Объяснять, что GPO дерьмо я не стал, а решил задачу скриптами, бубном и NFS, nss_ldap, pam_ldap, openldap, почти наверняка - с подрывом общей безопасности системы (но тут уж все зависит от рук, то есть сама ОС ни при чем). Про содержание достаточно обученного админа для всего этого я вообще тут умолчу.
А есть что-то готовое и безопасное для такой задачи в линукс? Буду рад услышать и научиться.
И, что греха таить, постоянно это GPO на слуху. И тычут им. И что выбрать? Лекции проводить на тему - =GPO - дерьмо=? Городить городьбу, подобную мне? Ждать мастеров с их FDS?
>То есть, я правильно понимаю, что GPO так или иначе связана с
>AD? И все-таки =user and computer
>often fall into the scope of several GPOs= ?Объекты груповой политики храняться в каталоге и используют службу каталогов для репликации и прочих надобностей.
Если вы знаете, Групповые политики могут применяться на нескольких уровнях иерархии. Поэтому часто возникает проблема интерполяции одних и тех же параметров, определённых на различных стратах. Решается это на атомарной уровне просмотром результирующей политики компьютера или пользователя и определением правил перекрытия. Может и звучит несколько тяжеловесно, но всё это очень просто. Жаль что не вышло ни одной книжки на русском по Групповым политикам. На великом и могучем языке шекспира есть замечательная книга Group Policy, Profiles, and IntelliMirror for Windows 2003, Windows XP, and Windows 2000, Third Edition. Материал в ней подан очень доступно и в тоже время в полном объёме.>То есть - GPO в линуксе без надобности?
Понимаете, пытаться перенести удачное решение для одной платформы на радикально другую всегда не лучшее решение. Это тоже самое, что пытать гусиным пером имитировать офсетную печать. Сама идея хранить профили безопасности в общем каталоге интересная и удачная, но насколько она применетельна к слабосвязным и децентрализованным по своей сути *никс-системам сложно сказать. Мне кажется это всё же неверный путь, он ведёт к чрезмерному усложнению и тупому калькированию Вин-подхода (но в Вин случае это хотя бы понятно, маркетинговая стратегия и всё такое). Просто нужно строить систему на других принципах. Не нужно контролировать пользовательские станции, это пустые хлопоты. Достаточно обеспечить защиту сервисов и данных. А что там на своём компе пользователь делает это уж сугубо его дело. Но это требует бОльших усилий на стадии проектирование бизнес-процессов, которые будут обслуживаться информационной системой.
>Вот у меня есть реальная задача:
>
>нужно в классе компьютерном логиниться студентам разных групп, с условием, чтобы было
>несколько разных загружаемых профилей в зависимости от группы. То есть группа
>юзеров =А= может заходить с профилем со всеми правами, группа =Б=
>- вообще без логина может заходить, группа =Д= - загружать не
>перемещаемый профиль с NFS, а некий гостевой и тп.Что вы храните в этих профилях, какие параметры пользовательского аккаунта?
>И, что греха таить, постоянно это GPO на слуху. И тычут им.
>И что выбрать? Лекции проводить на тему - =GPO - дерьмо=?
>Городить городьбу, подобную мне? Ждать мастеров с их FDS?GP замечательное решение для Вин-систем, оно жёстко связано с Вин-архитектурой. Ждать, что появиться что-то подобное для *никс бессмысленно. У *никс систем свои плюсы. Просто нужно видеть цель и подбирать инструменты для её достижения, а не пытаться сделать, чтоб было "как в системе ХХХ".
Спасибо за хороший ответ.>Объекты груповой политики храняться в каталоге и используют службу каталогов для репликации
>и прочих надобностей.Угу.
>[оверквотинг удален]
>офсетную печать. Сама идея хранить профили безопасности в общем каталоге интересная
>и удачная, но насколько она применетельна к слабосвязным и децентрализованным по
>своей сути *никс-системам сложно сказать. Мне кажется это всё же неверный
>путь, он ведёт к чрезмерному усложнению и тупому калькированию Вин-подхода (но
>в Вин случае это хотя бы понятно, маркетинговая стратегия и всё
>такое). Просто нужно строить систему на других принципах. Не нужно контролировать
>пользовательские станции, это пустые хлопоты. Достаточно обеспечить защиту сервисов и данных.
>А что там на своём компе пользователь делает это уж сугубо
>его дело. Но это требует бОльших усилий на стадии проектирование бизнес-процессов,
>которые будут обслуживаться информационной системой.Калькировать, естественно, особой нужды нет. Что до контроля станций ... я больше склонен считать, что должно быть удобно их админить. И в данном случае - =открыть= на доступ принтер определенной категории граждан, а другой - закрыть, парой нажатий клавиш - удобно. Удобно так же софт ставить куче хостов в соответствии с их привилегиями и тп. Да, есть cfengine, да, есть openLDAP... а - удобны они? Не для почетных линуксоидов и иже с ними. Для админа сельской школы с з/п в 5000 рублей (и то - если повезет)? Который с дикими скидками для школ получит винду с ее тремя кнопками и будет рад - в трех кнопках перебор меньше, чем в конфигах.
Потому - приходится что-то выдумывать и =а-ля винда=.
>
>>Вот у меня есть реальная задача:
>>
>>нужно в классе компьютерном логиниться студентам разных групп, с условием, чтобы было
>>несколько разных загружаемых профилей в зависимости от группы. То есть группа
>>юзеров =А= может заходить с профилем со всеми правами, группа =Б=
>>- вообще без логина может заходить, группа =Д= - загружать не
>>перемещаемый профиль с NFS, а некий гостевой и тп.
>
>Что вы храните в этих профилях, какие параметры пользовательского аккаунта?Ну что я могу там хранить? (: Только хомдиры и храню на NFS. Типа - для одной =группы= - свой хомдир. Чтобы хранить что-то еще - надо то ли клиента писать, то ли еще как извратиться (как раз если о калькировании и говорить). На клиентах еще и костыль прикручен, чтобы по юзеру определять - как цеплять профиль - =временно без изменений=, либо с возможностью сохранения изменений в конце работы. Тот еще изврат.
>GP замечательное решение для Вин-систем, оно жёстко связано с Вин-архитектурой. Ждать, что
>появиться что-то подобное для *никс бессмысленно. У *никс систем свои плюсы.
>Просто нужно видеть цель и подбирать инструменты для её достижения, а
>не пытаться сделать, чтоб было "как в системе ХХХ".=Хромает= инструментарий (: Потому как волшебным образом, при всем многообразии выбора, мало готовых решений. Клеить на колене - почетно. Да только это - не конкуренция уже винде, а какой-то =1с-way= - написал =конфигу=, подсадил клиента - и пусть он бегает за тобой. Ну да это уже философия, к теме не относящаяся вовсе.
как-то туманны ваши пожелания
если говорить о школе и т.п. то применять можно и простые тулзы ;)про громадные сети - без предварительного просчета и планирования никакие полиси не спасут (а только вред нанесут)
из простых шняг:
http://live.gnome.org/Pessulus
http://live.gnome.org/Sabayonдобавим всякие профайлы для selinux apparmor...
но это посложней будет в настройкеа уж сетовать на установку программ учитывая наличие репозиториев и утилей по управлению ими - это мне не понятно ;)
в любом случае - без знания системы, её настройка и разграничение прав приведет к бардаку