https://opennet.ru/openforum/vsluhforumID3/39659.html Анонсирован (http://www.mail-archive.com/fedora-announce-list@redhat.com/msg01291.html) выход LDAP-совместимого сервера службы каталогов Fedora Directory Server 1.1 (http://directory.fedoraproject.org/), основанного на исходных текстах Netscape Directory Server.<br><br><br>В новой версии реализована возможность автоматической генерации UID и GID номеров (работает при "multi-master" репликации); основные компоненты сервера разделы и оформлены в виде отдельных пакетов; изменена команда установки - /usr/sbin/setup-ds-admin.pl; вместо команды startconsole нужно использовать /usr/bin/fedora-idm-console.<br><br><br><br>Из возможностей Fedora Directory Server можно отметить "multi-master" систему репликации данных, шифрование данных в хранилище и при передаче (SSLv3, TLSv1, SASL), поддержка расширений из LDAPv3, гибкие ACL, высокая производительность (тысячи операций в секунду, десятки тысяч одновременно работающих пользователей в сети, десятки миллионов аккаунтов, сотни гигабайт данных в хранилище), <br><br>URL: http://www.mail-archive. https://opennet.ru/openforum/vsluhforumID3/39659.html#25 Fri, 11 Jan 2008 16:55:57 GMT &gt;Можно ли построить распределённые сети на решениях от МС, используя, в том <br>&gt;числе, и АД? Да, конечно. Но затраты будут избыточны. <br><br>Цитирую: "Вы, батенька, звездобол обыкновенный, не способный на большее"<br>Или расшифруйте про избыточность.<br><br>&gt;Пытаться же к *никс архитектуре привернуть аналоги Групповых политик, на мой взгляд, это глупость. <br><br>Возможно. А возможно и нет. <br><br>&gt;К тому же как это будет выглядеть? GPO от МС просто хранит набор <br>&gt;параметров реестра, а что будет использоваться в этом качестве для *никс? <br><br>Если вы понимаете под словосочетанием "аналог GPO" именно полный аналог - та соглашусь, это - глупость. По-хорошему там ценна только идея - сетевые политики, причем override'ящие полиси бокса. Ну а как оно будет реализовано - дело реализаторов (XML?)<br><br>&gt;И самый главный вопрос, зачем это нужно? <br><br>А вы вообщето знаете что это такое - GPO? А то мало ли :)<br><br>&gt;Ещё и по АйБиЭм умудрились проехаться. Я уверен, вы не видели ни <br>&gt;разу ни одной системы, построенной на их идеалогии, таких даунов пр https://opennet.ru/openforum/vsluhforumID3/39659.html#24 Fri, 11 Jan 2008 11:57:02 GMT как-то туманны ваши пожелания<br>если говорить о школе и т.п. то применять можно и простые тулзы ;)<br><br>про громадные сети - без предварительного просчета и планирования никакие полиси не спасут (а только вред нанесут)<br><br>из простых шняг:<br>http://live.gnome.org/Pessulus<br>http://live.gnome.org/Sabayon<br><br>добавим всякие профайлы для selinux apparmor...<br>но это посложней будет в настройке<br><br>а уж сетовать на установку программ учитывая наличие репозиториев и утилей по управлению ими - это мне не понятно ;)<br><br>в любом случае - без знания системы, её настройка и разграничение прав приведет к бардаку<br> https://opennet.ru/openforum/vsluhforumID3/39659.html#23 Fri, 11 Jan 2008 09:23:03 GMT Спасибо за хороший ответ.<br><br>&gt;Объекты груповой политики храняться в каталоге и используют службу каталогов для репликации <br>&gt;и прочих надобностей. <br><br>Угу.<br><br>&gt;[оверквотинг удален]<br>&gt;офсетную печать. Сама идея хранить профили безопасности в общем каталоге интересная <br>&gt;и удачная, но насколько она применетельна к слабосвязным и децентрализованным по <br>&gt;своей сути *никс-системам сложно сказать. Мне кажется это всё же неверный <br>&gt;путь, он ведёт к чрезмерному усложнению и тупому калькированию Вин-подхода (но <br>&gt;в Вин случае это хотя бы понятно, маркетинговая стратегия и всё <br>&gt;такое). Просто нужно строить систему на других принципах. Не нужно контролировать <br>&gt;пользовательские станции, это пустые хлопоты. Достаточно обеспечить защиту сервисов и данных. <br>&gt;А что там на своём компе пользователь делает это уж сугубо <br>&gt;его дело. Но это требует бОльших усилий на стадии проектирование бизнес-процессов, <br>&gt;которые будут обслуживаться информационной системой. <br><br>Калькировать, естественно, особой нужды нет. Что до контр https://opennet.ru/openforum/vsluhforumID3/39659.html#22 Fri, 11 Jan 2008 02:48:52 GMT &gt;То есть, я правильно понимаю, что GPO так или иначе связана с <br>&gt;AD? И все-таки =user and computer <br>&gt;often fall into the scope of several GPOs= ? <br><br>Объекты груповой политики храняться в каталоге и используют службу каталогов для репликации и прочих надобностей.<br>Если вы знаете, Групповые политики могут применяться на нескольких уровнях иерархии. Поэтому часто возникает проблема интерполяции одних и тех же параметров, определённых на различных стратах. Решается это на атомарной уровне просмотром результирующей политики компьютера или пользователя и определением правил перекрытия. Может и звучит несколько тяжеловесно, но всё это очень просто. Жаль что не вышло ни одной книжки на русском по Групповым политикам. На великом и могучем языке шекспира есть замечательная книга Group Policy, Profiles, and IntelliMirror for Windows 2003, Windows XP, and Windows 2000, Third Edition. Материал в ней подан очень доступно и в тоже время в полном объёме.<br><br>&gt;То есть - GPO в линуксе без надобности? <br><br>Понимаете, пытаться пе https://opennet.ru/openforum/vsluhforumID3/39659.html#21 Thu, 10 Jan 2008 14:05:56 GMT Кирилл (:<br><br>Я не силен в терминологии, да. Вот сходил на википедию и получил следующее:<br><br>подтверждение ваших слов: <br><br>=After a GPO has been created it can be linked to an Active Directory site, domain or OU (Organizational Unit). It is most common for GPOs to be linked to OUs.=<br><br>и замечание:<br><br>=User and computer objects may only exist once in the Active Directory but often fall into the scope of several GPOs. The user or computer object applies each applicable GPO. Conflicts between GPOs are resolved at a per attribute level.=<br><br>То есть, я правильно понимаю, что GPO так или иначе связана с AD? И все-таки =user and computer<br>often fall into the scope of several GPOs= ?<br><br>Почему бы тогда FDS или какому-нибудь LinuxDS тоже не быть связанным с некоей Linux GPO? Ваш аргумент:<br><br>=GPO от МС просто хранит набор параметров реестра, а что будет использоваться в этом качестве для *никс? И самый главный вопрос, зачем это нужно? =<br><br>То есть - GPO в линуксе без надобности?<br><br>Вот у меня есть реальная задача:<br><br> https://opennet.ru/openforum/vsluhforumID3/39659.html#20 Thu, 10 Jan 2008 07:06:52 GMT Вы, батенька, звездобол обыкновенный, не способный на большее, чем жонглировать тут бессмысленными аббревиатурами. Куда вы там плавали неизвестно.<br><br>Можно ли построить распределённые сети на решениях от МС, используя, в том числе, и АД? Да, конечно. Но затраты будут избыточны. Пытаться же к *никс архитектуре привернуть аналоги Групповых политик, на мой взгляд, это глупость. К тому же как это будет выглядеть? GPO от МС просто хранит набор параметров реестра, а что будет использоваться в этом качестве для *никс? И самый главный вопрос, зачем это нужно?<br><br>Ещё и по АйБиЭм умудрились проехаться. Я уверен, вы не видели ни разу ни одной системы, построенной на их идеалогии, таких даунов просто к ним не подпускают. А решение эти фантастически эффективны в своей нише.<br> https://opennet.ru/openforum/vsluhforumID3/39659.html#19 Thu, 10 Jan 2008 06:41:37 GMT &gt;это не изврат а официальное документированное решение - назначать через GPO Security <br>&gt;для каких групп (и юзеров) будет применятся данный GPO <br><br>Это изврат, о чём не двусмысленно написано в гидах по внедрению, начиная с появления GP.<br>GPO не применяется на уровне групп (единственная возможность добиться применения к отдельным группам это использовать выделеные права ACL GPO-объекта, но это негибкое и нежелательное решение). Для GPO нет никаких групп, есть только сайт, домен и оп.<br> https://opennet.ru/openforum/vsluhforumID3/39659.html#18 Wed, 09 Jan 2008 23:56:21 GMT А подумать - больно да?<br>Вот вы описали какой у _вас_ мрачный бардак, но с чего вы взяли что так - везде?! При таком бардаке ничего не поможет, ни МСАД, ни ФОД, ни НДС :( Рзаве что 3 года расстрела для IT Manager'a %)<br><br>Повторюсь - я не фанат именно M$AD, но каталоги - _нужны_. Без них с оффтопиком спорить гораздо труднее .....<br><br>GR.<br> https://opennet.ru/openforum/vsluhforumID3/39659.html#17 Wed, 09 Jan 2008 17:24:42 GMT &gt;Я учавствовал в создании одной сети в 2002 - ~60000 живых ...<br><br>вот и хоца услышать - пардоньте - на койляд это сгондыбали и как это дело обслуживается?<br><br>возмем васю из москвы, кот. захотел шару в ландоне и на ней каталог...<br>тока бяда - "никто" не знает (окромя участников "процесса") - чё ентот каталог делает (шарит). Пишем реквесты их апрувят<br>где "никто" - аутотсос, и оно действительно не знает, мало того оно наняло адскогоодмина из "индусии" (в целях экономии ;)<br><br>афигительно нужный сервис - гы-гы<br><br>"так и живем" - датацентры с бардаком прав и битыми репликациями, кот. этиже права и корячат<br><br>бесспорно - "медальку" а мобуть и орден за подвиг по развертыванию подобного МСглюкала получили причастные и неочень, вот тока жить от того легче не стало ;)<br><br><br><br><br>