Управление пользователями.

[a.salnikov]

Коллеги,

подскажите у кого как организовано управление пользователями? Задача: Есть куча юникс серверов. Есть AD. Как то нужно настроить авторизацию пользователей на тачках чтоб этим можно было как то рулить. Не обязательно даже из АД (хотя желательно).

Смотрю на eDirectory (Novell). Документации именно по авторизации в линуксе оч мало. Сейчас пользуется OpenLDAP, но как то толи неправильно пользуется, толи что, но в общем неудобно рулить группами пользователей для доступак тем или иным серверам.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

куча - это сколько?

[a.salnikov]

50-100

и с ними работает куча разных людей Сервера разработки.

[princeps]

Что-то не совсем понял задачу. OpenLDAP используется для авторизации в AD или сам по себе, как дополнительный глобальный каталог?
А чем тебе не нравится авторизация в AD , раз уж последняя присутствует?

[a.salnikov]

напрямую с линуксов в АД? городить везде самбу и winbind ? ... не кошерно как-то. Да и видимо не порулиш правами особо.

В идеале. создаёш группу в AD для каждого сервера и в них прописываеш пользеров которым можно ходить на тот или иной сервер.

[princeps]

городить везде самбу и winbind ? ... не кошерно как-то.

Почему, собственно? eDirectory и OpenLDAP, как я понимаю, из коробки тоже не поддерживаются, т.е. все равно что-то дополнительно ставить нужно. По-моему, удобства хранения всего в одной базе перекрывают накладные расходы на начальную установку\настройку.

Да и видимо не порулиш правами особо.

А ты какими именно правами рулить собрался? Если правами на доступ к диску - то через ACL доступ замечательно рулится даже с виндовой машины.

В идеале. создаёш группу в AD для каждого сервера и в них прописываеш пользеров которым можно ходить на тот или иной сервер.

Опять же - логиниться или обращаться к файловой системе? Собственно, и то и другое в нашем XXI веке, кажется, проблем не составляет

[a.salnikov]

Везде говорю про "логиниться". Доступ к данным не критичен.

ldap клиента _имхо_ быстрее настроить чем с самбой и винбиндом на каждой машине морочиться.

Тачки обычно клонируются с одного образа и потом тюнятся под определённые задачи. Один раз настроив лдап и потом просто прописывая группу из которой разрешать пользерам логиниться можно сильно упростить управленеи пользователями. Вот. Собсно какими способами можно всё это организовать я примерно представляю. Просто решил спросить кто чем пользуется чтоб в плане удобства и гибкости настроек для себя определиться в какую сторону плотнее посмотреть. Пока смотрю на eDirectory . Но оч мало информации по авторизации линуксов в eDir. Везде пишут что хорошо оно работает только с нативными новеловсками SUSE, SLES и т.п

[princeps]

А, у тебя линукс )))

ldap клиента _имхо_ быстрее настроить чем с самбой и винбиндом на каждой машине морочиться.

Я бы не сказал. У тебя какой дистрибутив? Я так понимаю, большая часть линуксов, рассчитанных на корпоративное использование, умеют дружить с AD без лишних плясок с бубном. Типа клиентской части Fedora Directory Service или что там еще есть для них, в последнее время массу всего придумали.

Тачки обычно клонируются с одного образа и потом тюнятся под определённые задачи. Один раз настроив лдап и потом просто прописывая группу из которой разрешать пользерам логиниться можно сильно упростить управленеи пользователями.

Ничто тебе не мешает поступать так с настроенными на AD компами. Тем более, что раз у тебя OpenLDAP уже стоит, проще будет переходить.

Просто решил спросить кто чем пользуется

На мой взгляд, в твоем случае (50-100 компов) самый оптимальный вариант - это OpenLDAP, т.к. он открыт и гибок. eDirectory и AD - по сути то же самое, то есть используют протокол LDAP, но если что-то надо прикрутить дополнительное - то с OpenLDAP это проще сделать. Всяких средств для управления им помимо командной строки - предостаточно и лично мне их хватает с головой, хотя вообще принято считать, что средства управления у закрытых реализаций LDAP более удобны. Для линукса сейчас есть несколько пакетов, основанных на OpenLDAP, упрощающих его установку и настройку - тот же редхатовский FDS, мандрива там кажется что-то делала, я не особенно в них разбираюсь. В общем, я юзаю OpenLDAP - из моего опыта следует, что он не уступает по возможностям AD, а по удобству прикручивания дополнительных фич - превосходит. С eDirectory не было возможности сравнить, но мне кажется, что будет та же фигня.
С другой стороны - если у тебя уже есть AD, то надо ее и использовать и сэкономить на этом деньги. Как мне кажется, держать несколько глобальных директорий противоречит самой идее их существования.

[a.salnikov]

спасибо. учту.

[princeps]

А чем тебе не удобен OpenLDAP?

[a.salnikov]

я просто не умею его готовить Ранее не сталкивался. Ты через ОпенЛДАП по пользователям доступ радаёш а так чтоб напрмер группу в ОпенЛДАм создать и группе разрешить ходить на какой либо сервер, так не делал?

[princeps]

Я так делал только для файловой системы - через ACL по группам дается доступ к папкам. А ограничивать, чтобы именно логиниться нельзя было по группам - не доводилось, но я думаю, что с этим не должно возникнуть проблем. Во всяком случае не должно возникнуть проблем больше, чем с AD и eDirecory. Не знаю как с eDirectory, а для AD, если делать по-правильному, один хрен надо использовать openldap-клиент, т.е. с точки зрения клиента - отличий не будет. Тут, кстати, поднималась похожая тема - кто-то пытался средствами samba ограничивать доступ - поищи по форуму, может найдешь что полезное. Вообще тебе не столько OpenLDAP надо изучать, сколько систему PAM.