Согласиться с ролью вечного догоняющего, отдать права арбитра оппоненту — путь ведущий к неизбежному поражению.
Именно поэтому задачи/вопросы с воспроизведением домена Windows средствами Linux (или *BSD или чего ещё по вкусу) — суть не просто пустая, но вредная трата времени.
С другой стороны, отвергать здравые идеи, содержащиеся в этой концепции, тоже глупо.
Первым пунктом в решении данной проблемы стоит описание сущности домена.
Без использования Windows-специфичных терминов/решений.
Однако гугл в увлечении практикой не слишком балует теорией:
http://en.wikipedia.org/wiki/Windows_Server_Domain
http://ru.wikipedia.org/wiki/%D0%94%D0%BE%D0%BC%D0%B5%D0%BD_Windows_NT
Может decvar поделится ссылкой на определение в MSN (не ищу в силу некоторых сомнений в существовании того, что мне нужно).
Идея достаточно проста (собственно — нулевое приближение к ответу на вопрос):
Разделение сущности пользователей на системных (которым дают shell и которые работают непосредственно на машине) и пользователей сервисов.
Для второй категории — переход к централизованному хранению учётных записей пользователей. В результате — единая пользовательская база для некоторое количества сопряжённых приложений/сервисов. Здесь наверное имеет смысл представить список таковых для домена NT, домена 2003 (наверное, если я не ошибаюсь) и соответствующего собственным представлениям о целесообразности.
Ну, с серверной частью в случае с Linux всё понятно: практически инвариантно это — OpenLDAP (материал для статьи по развёртываю OpenLDAP-2.3 server’а готов). Для большинства приложений сопряжение с LDAP-сервером предусматривается (не всё здесь так просто и безоблачно, на примере Самбы могу показать). Но морковка стоит усилий.
Остаётся вопрос нативного user-side agent’а (мы не пытаемся воспроизвести домен Windows!!!).
Также считаю нужным рассмотреть область применимости (целесообразности) данного решения..
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
почему трата времени? поясни
вобще, в чем существенная разница между «AD in windows» и openldap ?????
я честно говоря не уловила разницы когда ставила openldap + samba
можно этот момент на пальцах объяснить???
нащет разделения прав:
я себе представляю так:
есть база с пользователями, в зависимости от потребностей шелл указываем на фальш или зсш
и тут же есть вторая база, скажем для самбы
и просто нужно добавить пользователя в эту группу.
зы. на практике не помню что получилось…. =))
То же самое что и в виндовс. и в чем разница?
Потому что признание за оппонентом право судить и определять стандарты равнозначно признанию поражения.
Где определение существенности? ;)
Смотря что и как ставить.
Можно и не заметить.
Навскидку:
AD — ограничение на величину выборки в 1000 записей.
Увеличивать это значение категорически не рекомендуют. Absolutely no warranty.
OpenLDAP — стандартное умолчательное значение, задаваемое при компилляции — 500.
Можно без проблем менять в широком диапазоне (10 — 5000) или вообще отключить нафиг.
Т.е. на самом деле пользователя в системную базу добавлять придётся…
Думается мне, оно предполагает, что и системная авторизация тоже сделана через LDAP…
Кстати, интересно: можно ли использовать составную базу пользователей (стандартную для системного уровня и LDAP для пользователей сервисов).
Ну, хотя бы то, что стабильная ветка Самбы ЕМНИП всё ещё не поддерживает набора функций [хотя бы] домена 2000 (где и насколько они вообще нужны — отдельный вопрос).
Так что — иди
ублажайуговаривай decvar’а высказаться по этой теме. :)AD является реализацией LDAP под Windows.
Плюс к нему прикручено DNS,практически намертво.
Опыта пока маловато,но это напоминает: OpenLDAP+BIND+Samba
P.S. Мне кажется это абсолютной чепухой. 8-)
Т.е. фактически далеко не только LDAP.
И ни фига не standalone, на него закручено много чего системного (часто — лишне).
Samba-то в Unix на фига?
Ты не прав.
Хотя здесь многое зависит от того: на каком уровне ты работаешь: число серверов, число пользователей и список сервисов.
Уточняю.Сам этот тройственный союз мне кажется чепухой.
Даже если в сети только Linux-клиенты,Samba может оказаться лучшим выбором чем NFS.
Хотя связка OpenLDAP+Samba имеет определенные перспективы.
Лично меня привлекает идея «работать вместе» разных сервисов.А идея «работать круговой порукой» нет.
В виндовом сервере(2003 в частности)все собрано в один клубок.На первый взгляд все вроде бы связано вполне логично,хотя вникая глубже становится малопонятным откуда какая нитка торчит(мое мнение).
Сейчас я нигде не работаю.Мой уровень согласно твоей квалификации 0. 8-)
Дык я его и не упоминал даже :)
Аргументируй.
В том-то и дело, что МОИ перспективные проблемы выходят далеко за рамки этой связки.
Меня же здесь интересует возможность унификации механизма авторизации (и баз пользователей).
Причём если с серверной стороной всё практически ОК, то с клиентской (для *nix) — грустно.
Хотя, может в SuSE над этим работают (ждём высказывания Эвила).
Просто сейчас база практических наблюдений не обеспечивает собственного мнения относительно того когда, насколько и что именно нужно.
NFS предлагает аутентификацию по ip-адресу.Причем она подразумевает ,что на хосте-клиенте пользователь не может получить административные права.Сервер NFS доверяет информации об идентификаторе пользователя,которую он получает от клиента.При наличии прав рута,возможно подменить его и получить доступ к файлам других пользователей.
NFS интегрировано в ядро,Samba запускается как пользовательский процесс.
Если честно я NFS ни разу серьезно не пользовался.Рассуждения полутеоретические. 8-)
По моему все это дает LDAP.
Тут ты прав,практически проверить удается достаточно мало,а проверить в реальной работе,не удается совсем. 8-(
Ну… Я в NFS пока глубоко не залезал. Сейчас играюсь с другими сервисами.
Но ЕМНИП авторизацию по сертификатам можно сделать.
Тот факт, что модулем ядра я не считаю фатальным (тут правда встаёт вопрос об обоснованности запихивания DHCP во все дыры).
Пофиг.
Драйвер сетевой карты всё равно идёт модулем ядра :)))
Server side — да.
С клиентской — насколько я въехал в проблему, не всё так безоблачно.
Полноценное тестирование — в лучшем случае 50% трудоёмкости. А когда и больше.
Ты не думаешь что это офигенной дырой было бы? Насколько я помню свой id пользователь должен паролем подтвердить. Но точно не скажу, использовал nfs только в технологическом плане и пользователя nobody всегда хватало.
Да вот не прав я был, пароль там не нужен, действительно аутиенфикация по хосту. Согласен что это слабое место. ip ведь подделать можно. Может конечно все шифровать, но изначально слабое место в дизайне.
ну всяких стандартов дофига и больше,
просто где то разунее приминять именно этот стандарт а не другой
(это я так в общем)
я разницы не вижу, кроме как возможные проблемы с миграйшен,
помоему отлично работает если 2003 в режиме совместимости с 2000 и НТ4
вроде как без проблем мигрируется в обе стороны…
ну так пользователей везде надо добовлять,
а почему нет?
дай шел и права и судо поправь
я когда ставила-пыталлась понять лдап
создавала пользователя, каторый мог в сисему входить и мог что попало вытворять,
но он не мог зайти в самбу, только запускать перезапускать сервис
и пользователя который ходил в самбу но не в сисему
(ты про это? =) )
ну а тебе какие функции нужны?
думаю я что скриптики различного жанра в сети есть
честно говоря, кромя функции миграции в 2003 никаких интересных функции не вижу
да и вобще лдап это прежде всего база, в которой только данные хранятся
кроме копировать, вставить, удалить мигрировать там в принципе ничего не нужно,
да и то это всего лишь каркас на основании чего можно применить какие либо санкции и действия к кому или чему нить
Теперь я не лучшим образом выразился.
Имелась в виду монополия на формирования шкалы оценок: что есть хорошо, а что есть плохо.
А потом удалять…
Во от этого я и хочу уйти.
На фига?
Ты про пользователя домена?
Централизованная база пользователей различных сервисов.
В идеале: с структурированием по группам: кому что можно.
Дык 2003 мне вообще побоку.
База — на физическом уровне. И не совсем обычная база.
Главное же здесь — протокол доступа.
Дык я про миграцию и не говорю.
за мою небольшую практику в этом мире я поняла что в каждом дистрибе есть свои подвобные камни, так что вся оценка сводится на каком дистрибе это хорошо работает и количество пользователей этого дистрибутива по отношению
к дистрибутивам там где не очень работает
вобщем все это очень уж относительно
удалять если только пользователь уволился с работы,
или что то другое имел ввиду?
от занесения пользователей ты никуда не уйдешь
ну да, про пользователей в лдап, тоесть принцип работы индеетичен схемы работы в ад 2003, те же работы с политиками групп
как мне кажется то что тебе надо
Централизованная база пользователей различных сервисов.
В идеале: с структурированием по группам: кому что можно.
так вод, говорю же, смотри выше
вобщем есть пользователь
ну не совсем может быть…
Насчет NFS, в стандарте версии 4, многое в плане безопасности поменялось.
Исторически, разграничение прав в Линукс и виндовс, построены на разных принципах.
Хотя сейчас и существуют так называемые ACL-списки.
И все же даже это достаточно далеко, от групповых политик и подхода к разграничению прав в виндовс.
LDAP можно использовать и для ведения общей базы пользователей и для распространения настроек компьютеров в сети.