Управление пользователями.

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
a.salnikov
ефрейтор
Сообщения: 51
Зарегистрирован: 2007-08-14 7:47:47
Откуда: Москва

Управление пользователями.

Непрочитанное сообщение a.salnikov » 2008-05-05 16:45:00

Коллеги,

подскажите у кого как организовано управление пользователями? Задача: Есть куча юникс серверов. Есть AD. Как то нужно настроить авторизацию пользователей на тачках чтоб этим можно было как то рулить. Не обязательно даже из АД (хотя желательно).

Смотрю на eDirectory (Novell). Документации именно по авторизации в линуксе оч мало. Сейчас пользуется OpenLDAP, но как то толи неправильно пользуется, толи что, но в общем неудобно рулить группами пользователей для доступак тем или иным серверам.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35266
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Управление пользователями.

Непрочитанное сообщение Alex Keda » 2008-05-05 22:52:03

куча - это сколько?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
a.salnikov
ефрейтор
Сообщения: 51
Зарегистрирован: 2007-08-14 7:47:47
Откуда: Москва

Re: Управление пользователями.

Непрочитанное сообщение a.salnikov » 2008-05-06 7:15:08

50-100

и с ними работает куча разных людей :) Сервера разработки.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Управление пользователями.

Непрочитанное сообщение princeps » 2008-05-06 9:42:29

Что-то не совсем понял задачу. OpenLDAP используется для авторизации в AD или сам по себе, как дополнительный глобальный каталог?
А чем тебе не нравится авторизация в AD , раз уж последняя присутствует?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
a.salnikov
ефрейтор
Сообщения: 51
Зарегистрирован: 2007-08-14 7:47:47
Откуда: Москва

Re: Управление пользователями.

Непрочитанное сообщение a.salnikov » 2008-05-06 9:53:16

напрямую с линуксов в АД? городить везде самбу и winbind ? ... не кошерно как-то. Да и видимо не порулиш правами особо.

В идеале. создаёш группу в AD для каждого сервера и в них прописываеш пользеров которым можно ходить на тот или иной сервер.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Управление пользователями.

Непрочитанное сообщение princeps » 2008-05-06 10:34:25

a.salnikov писал(а):городить везде самбу и winbind ? ... не кошерно как-то.
Почему, собственно? eDirectory и OpenLDAP, как я понимаю, из коробки тоже не поддерживаются, т.е. все равно что-то дополнительно ставить нужно. По-моему, удобства хранения всего в одной базе перекрывают накладные расходы на начальную установку\настройку.
a.salnikov писал(а):Да и видимо не порулиш правами особо.
А ты какими именно правами рулить собрался? Если правами на доступ к диску - то через ACL доступ замечательно рулится даже с виндовой машины.
a.salnikov писал(а):В идеале. создаёш группу в AD для каждого сервера и в них прописываеш пользеров которым можно ходить на тот или иной сервер.
Опять же - логиниться или обращаться к файловой системе? Собственно, и то и другое в нашем XXI веке, кажется, проблем не составляет :)
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
a.salnikov
ефрейтор
Сообщения: 51
Зарегистрирован: 2007-08-14 7:47:47
Откуда: Москва

Re: Управление пользователями.

Непрочитанное сообщение a.salnikov » 2008-05-06 10:44:39

Везде говорю про "логиниться". Доступ к данным не критичен.

ldap клиента _имхо_ быстрее настроить чем с самбой и винбиндом на каждой машине морочиться.

Тачки обычно клонируются с одного образа и потом тюнятся под определённые задачи. Один раз настроив лдап и потом просто прописывая группу из которой разрешать пользерам логиниться можно сильно упростить управленеи пользователями. Вот. Собсно какими способами можно всё это организовать я примерно представляю. Просто решил спросить кто чем пользуется чтоб в плане удобства и гибкости настроек для себя определиться в какую сторону плотнее посмотреть. Пока смотрю на eDirectory . Но оч мало информации по авторизации линуксов в eDir. Везде пишут что хорошо оно работает только с нативными новеловсками SUSE, SLES и т.п

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Управление пользователями.

Непрочитанное сообщение princeps » 2008-05-06 11:05:46

А, у тебя линукс :))))
a.salnikov писал(а):ldap клиента _имхо_ быстрее настроить чем с самбой и винбиндом на каждой машине морочиться.
Я бы не сказал. У тебя какой дистрибутив? Я так понимаю, большая часть линуксов, рассчитанных на корпоративное использование, умеют дружить с AD без лишних плясок с бубном. Типа клиентской части Fedora Directory Service или что там еще есть для них, в последнее время массу всего придумали.
a.salnikov писал(а):Тачки обычно клонируются с одного образа и потом тюнятся под определённые задачи. Один раз настроив лдап и потом просто прописывая группу из которой разрешать пользерам логиниться можно сильно упростить управленеи пользователями.
Ничто тебе не мешает поступать так с настроенными на AD компами. Тем более, что раз у тебя OpenLDAP уже стоит, проще будет переходить.
a.salnikov писал(а):Просто решил спросить кто чем пользуется
На мой взгляд, в твоем случае (50-100 компов) самый оптимальный вариант - это OpenLDAP, т.к. он открыт и гибок. eDirectory и AD - по сути то же самое, то есть используют протокол LDAP, но если что-то надо прикрутить дополнительное - то с OpenLDAP это проще сделать. Всяких средств для управления им помимо командной строки - предостаточно и лично мне их хватает с головой, хотя вообще принято считать, что средства управления у закрытых реализаций LDAP более удобны. Для линукса сейчас есть несколько пакетов, основанных на OpenLDAP, упрощающих его установку и настройку - тот же редхатовский FDS, мандрива там кажется что-то делала, я не особенно в них разбираюсь. В общем, я юзаю OpenLDAP - из моего опыта следует, что он не уступает по возможностям AD, а по удобству прикручивания дополнительных фич - превосходит. С eDirectory не было возможности сравнить, но мне кажется, что будет та же фигня.
С другой стороны - если у тебя уже есть AD, то надо ее и использовать и сэкономить на этом деньги. Как мне кажется, держать несколько глобальных директорий противоречит самой идее их существования.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
a.salnikov
ефрейтор
Сообщения: 51
Зарегистрирован: 2007-08-14 7:47:47
Откуда: Москва

Re: Управление пользователями.

Непрочитанное сообщение a.salnikov » 2008-05-06 11:07:29

спасибо. учту.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Управление пользователями.

Непрочитанное сообщение princeps » 2008-05-06 11:10:41

А чем тебе не удобен OpenLDAP?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
a.salnikov
ефрейтор
Сообщения: 51
Зарегистрирован: 2007-08-14 7:47:47
Откуда: Москва

Re: Управление пользователями.

Непрочитанное сообщение a.salnikov » 2008-05-06 11:21:14

я просто не умею его готовить :) Ранее не сталкивался. Ты через ОпенЛДАП по пользователям доступ радаёш а так чтоб напрмер группу в ОпенЛДАм создать и группе разрешить ходить на какой либо сервер, так не делал?

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Управление пользователями.

Непрочитанное сообщение princeps » 2008-05-06 11:59:26

Я так делал только для файловой системы - через ACL по группам дается доступ к папкам. А ограничивать, чтобы именно логиниться нельзя было по группам - не доводилось, но я думаю, что с этим не должно возникнуть проблем. Во всяком случае не должно возникнуть проблем больше, чем с AD и eDirecory. Не знаю как с eDirectory, а для AD, если делать по-правильному, один хрен надо использовать openldap-клиент, т.е. с точки зрения клиента - отличий не будет. Тут, кстати, поднималась похожая тема - кто-то пытался средствами samba ограничивать доступ - поищи по форуму, может найдешь что полезное. Вообще тебе не столько OpenLDAP надо изучать, сколько систему PAM.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru