FreeBSD или Win2003

[snorlov]

Отставим риторику о вечных ценностях пока в сторонку, вернуться к выяснению стоимости владения продуктом можно вернуться и позже. Уважаемые собеседники snorlov и princeps -- позвольте поинтересоваться, как у вас реализованы обновления и антивирусная защита десктопов?

Я пришекл к выводу, что бессмысленно защищать сервера, лучше на них ставить в нормальном режиме обновления, поэтому на десктопах стоит касперыч, 1С(77) стоит на отдеkьном сервере w2k3, MS SQL на другую платформу просто не ставится, там же стоит и закачка баз касперского, работающая в режиме командной строки... На всех компах, окромя бухгалтерии используется OO3...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[m0ps]

(в то что жмут деньги на серверный софт и вовсю отстегивают на циски, простите, не верю ).

зря не веришь... лично у меня, как раз такая ситуация... софт покупается очень неохотно (винда на рабочие станции не в счет, без нее не туда и не сюда, уж больно любят "наши" программисты винь ), а сетевое оборудование - только cisco, альтернативы даж не рассматриваются ))

[detx]

а сетевое оборудование - только cisco, альтернативы даж не рассматриваются ))

Как на складе под Москвой, на два рабочих места Catalyst 3750. ))))

[opt1k]

пожалуй соглашусь что для контор с 300 и выше компами имеет смысл купить виндовый контроллер если уж уже куплены лицензии на клиентов. Самое главное, что для любимой и модной фри останется ещё круг задач, например прокси или почтовик
На данный момент есть вопрос который меня сильно терзает, а именно: можно ли на фре\линупсе сделать что-то наподобие виндового входа в домен? Допустим есть домен на самбе или АД(не суть), я хочу что бы пользователь сидящий за *nix десктопом при включении компа вводил свой логин и пароль, после чего ему подгружался профиль и т.д. Есть ли готовые решения?

[Dron]

LDAP+NFS
только это не будет виндовым профилем

[princeps]

не совсем понял, ты хочешь лдап-авторизацию или перемещаемый профиль к никсам прикрутить?

[opt1k]

лдап вроде как сам по себе не авторизует, он лишь хранит учётные данные, которые из него дёргают другие сервисы, типа самбы и почты для авторизации пользователей.
А я хочу аналог виндового десктопа.
Допустим есть связка самба+лдап, виндовые машины успешно логинятся. Но помимо виндовых есть и никс клиенты, которые точно так же должны входить в корпоративную сеть. А именно пароль и логин для входа в сеть, профиль(ясное дело что профиль должен отличаться от виндового), выдача полномочий на доступ к ресурсам(допустим залогинившись в винде 1 раз мы получаем доступ во всю сеть до конца сеанса работы) и т.д.

[princeps]

для этого надо настроить pam. Но one sign в полной мере не удастся, наверное, реализовать.

[opt1k]

а я вот всё таки надеюсь на то что данное решение существует. Не может же быть такого что бы только я один этим озадачивался.

[princeps]

ну я ж тебе говорю - pam надо настраивать. А one sign и в винде не всегда работает, если не-M$ программы юзать. Например, с оперой не получится выйти в инет без дополнительного ввода пароля, потому что она не поддерживает ни ntlm, ни kerberos аутентификацию.

[Burner]

Допустим есть связка самба+лдап, виндовые машины успешно логинятся. Но помимо виндовых есть и никс клиенты, которые точно так же должны входить в корпоративную сеть. А именно пароль и логин для входа в сеть, профиль(ясное дело что профиль должен отличаться от виндового), выдача полномочий на доступ к ресурсам(допустим залогинившись в винде 1 раз мы получаем доступ во всю сеть до конца сеанса работы) и т.д.

что такое "вход в сеть"?

[opt1k]

Если проще, то после того как пользователь включает комп, он видит окошко с приглашением ввода логина и пароля и выбора домена. Это и есть вход в сеть.

[Burner]

Если проще, то после того как пользователь включает комп, он видит окошко с приглашением ввода логина и пароля и выбора домена. Это и есть вход в сеть.

при загрузке практически любой ОС по дефолту видно окошечко (ну или не окошечко) с приглашением для ввода логина и пароля. Даже если сеть в принципе отсутствует.

[opt1k]

ну речь же не только о входе в сеть, но ещё и об упомянутом one sign при работе именно в сети. То что логин и пароль любая современная ОС спрашивает я и без вас знаю.

[Burner]

ну речь же не только о входе в сеть, но ещё и об упомянутом one sign при работе именно в сети. То что логин и пароль любая современная ОС спрашивает я и без вас знаю.

вот я и спрашиваю - куда SSO? Кроме "в сеть", ничего не понятно. Сервисы-то есть у вас какие-то?

[opt1k]

есть, конечно. почта и доступ к файлам(сабма или нфс).

[Burner]

к самбе можно прикрутить керберос, к нфс, если постараться, тоже. А к почте вы в windows видели SSO?

[princeps]

А к почте вы в windows видели SSO?

Конечно, в MS Exchange + MS Outlook.
Тут дело не в ОС, а в используемом софте. Насчет самбы не знаю, но думаю, что там можно реализовать single sign.
По почте - опять же, я точно не уверен, но скорее всего евдору можно настроить. вообще, наверное, проще взять какой-нибудь корпоративный линукс типа ред хат или сусе и псомотреть как там, там скорее всего все реализовали.

[Fioktist]

для этого надо настроить pam. Но one sign в полной мере не удастся, наверное, реализовать.

+1

а я вот всё таки надеюсь на то что данное решение существует. Не может же быть такого что бы только я один этим озадачивался.

на лине существует и работает вот этоURL там даже видео есть как это работает.
наверно за вопросами к тем ребятам на форум надо, для решения твоей проблеммы.

[opt1k]

calculate для меня не катит,после просмотра роликов проект мне не понравился. Лучше всё делать самому.
За последнюю неделю я много читал про pam, nss, kerberos, samba и их взаимодействие для достижения sso юникс клиентов в АД. Я пришёл к выводу что это возможно, тем более что есть примеры успешного использования. Более того:

Тут дело не в ОС, а в используемом софте.

как я узнал много софта поддерживает pam, а значит и sso возможен для этого софта(а pam работает с почтой, самбой, веб-серверами, керберосом и так далее, вобщем со всем необходимым).
Час назад нашёл хорошую книжку: Linux in a Windows world. Сейчас читаю её, посвящена она использованию АД и linux клиентов
На самом деле юникс в мире АД это только часть того что мне интерестно в данном направлении. Интересна идея полной миграции с винды как серверов так и клиентов, её можно разложить на 2 темы:
1) служба директорий. Схема "самба3+днс+pam+керберос+лдап+мелочи и клиенты на базе kerberos+pam" осуществима уже сегодня. С выходом 4ой самбы( а он, судя по вики уже не за горами ) всё будет ещё проще и функциональнее(появятся полноценные ГП и т.д.)
2) запуск приложений заточенных под винду. С выходом win server 2008 появился и новый протокол rpd v6, одна из фишек данного протокола - возможность пускать программы на сервере и выводить их отдельным окном на клиенте. Это снимает вопрос. Т.е. бухгалтерия работающая под юниксом нажимает на ярлык 1с, в этот момент происходит следующее: запускается rdesktop, подключается к серверу терминалов, сервер терминалов запускает 1с и передаёт картинку окна 1с на rdesktop клиента. В итоге с полученным окном можно работать как будто оно и не терминальное вовсе. Препятствием является то что rdesktop не поддерживает ещё rdp v6. Но уже есть решения которые данный пробел закрывают, кажется я что то подобное видел в том же calculate.

Ещё есть мысль на счёт обхода cal лицензий. Имея АД можно загнать юникс тачку в домен и с неё: отдавать профили, шары и принтеры. Таким образом АД будет лишь выполнять функции хранения базы учёток, авторизации и аутентификации. Но честно говоря мне кажется что данный способ нарушит лицензию, надо ознакомиться с ней подробнее.

[Burner]

как я узнал много софта поддерживает pam, а значит и sso возможен для этого софта(а pam работает с почтой, самбой, веб-серверами, керберосом и так далее, вобщем со всем необходимым).

пока видно только 3 задачи - почта, самба, нфс. Зачем вам еще "много софта"?

Ещё есть мысль на счёт обхода cal лицензий. Имея АД можно загнать юникс тачку в домен и с неё: отдавать профили, шары и принтеры. Таким образом АД будет лишь выполнять функции хранения базы учёток, авторизации и аутентификации. Но честно говоря мне кажется что данный способ нарушит лицензию, надо ознакомиться с ней подробнее.

неважно какие функции функции выполняет АД, и даже есть ли АД вообще на сервере. CAL нужен для обращения к ресурсам сервера. Каждый клиент, обращающийся к нему, требует CAL.

[opt1k]

пока видно только 3 задачи - почта, самба, нфс. Зачем вам еще "много софта"?

прокся, эксченж, "жабир", веб...

неважно какие функции функции выполняет АД, и даже есть ли АД вообще на сервере. CAL нужен для обращения к ресурсам сервера. Каждый клиент, обращающийся к нему, требует CAL.

Согласен.
Только реально всё выглядит несколько подругому. В сети с АД сервером может общаться только самба, допустим которая раз в час дёргает базу в кэш(не уверен что винбинд дёргаёт всю базу, а не только конкретного пользователя, но предположим что всю). А уж клиенты общаются только с самбой.
Суть ситуации я могу описать следующим образом. На вин сервере на который куплена 1 cal лежит файлик с именами пользователей и паролями. Раз в час одна единственная лицензионная машина win XP дёргает скриптом этот файлик и складирует его в папку которая доступна с фтп сервера на этой Win XP машине. Н-ое число людей сливают этот файлик по протоколу фтп. На мой взгляд это никак не является нарушением лицензии

Т.е. в данной ситуации с виндовым сервером общается лишь одна машина на которую куплена лицензия. А как эта машина будет распоряжаться полученной информацией никого уже не волнует.

[Burner]

Только реально всё выглядит несколько подругому. В сети с АД сервером может общаться только самба, допустим которая раз в час дёргает базу в кэш(не уверен что винбинд дёргаёт всю базу, а не только конкретного пользователя, но предположим что всю). А уж клиенты общаются только с самбой.
Суть ситуации я могу описать следующим образом. На вин сервере на который куплена 1 cal лежит файлик с именами пользователей и паролями. Раз в час одна единственная лицензионная машина win XP дёргает скриптом этот файлик и складирует его в папку которая доступна с фтп сервера на этой Win XP машине. Н-ое число людей сливают этот файлик по протоколу фтп. На мой взгляд это никак не является нарушением лицензии

Т.е. в данной ситуации с виндовым сервером общается лишь одна машина на которую куплена лицензия. А как эта машина будет распоряжаться полученной информацией никого уже не волнует.

клиенты-то в домене будут или нет? Если да, то уж как ни изворачивайся, при авторизации они будут обращаться именно к контроллеру домена. А самба в АД быть им не может.

[opt1k]

уговорил