20.03.2012 1:31, Maksym Tiurin пишет:
evgeny writes:
[Исходное сообщение опубликовано на форуме: http://manualpages.pro/node/105]
Решил я собрать воедино мысли о том, как управлять сетью
предприятия. Так чтоб с одной стороны, удобно было, а с другой - не
дорого и безопасно. Из того, что нынче есть в наличии и опробовано,
рассказываю.
*1*. Домен на Samba 3, без дополнений, то есть - с локальными
пользователями. Эмулируется NT-домен, хорошо подходит для маленьких
сеток. Вся настройка сводится к копированию конфигурации smb.conf и
заведении пользователей, которое, кстати, можно придумать через
какую-то Web-интерфейсину. Принципиально, можно попробовать множество
дополнений, например, NT-политики.
+ простота, до дубового
- заводить в такой домен Linux-машины кажется извращением
- GPO полноценного нет
"Полноценный" это со всеми плюшками 2008-го сервера?
Если не обязательно то никто не мешает poledit'ом нагенерить нужных
политик и сложить на самбу.
Как владелец Samba-домена (с учётками в LDAP) на ~200 пользователей могу
сказать следующее:
1) Poledit подходит для систем включая WinXP (которые потихоньку
начинают вымирать), а в Win 7 они никак не работают (Win Vista мы
успешно пропустили).
2) Poledit не поддерживает иерархическое наследование политик, т.е. там
объектами управления являются:
-- пользователь;
-- группа пользователей;
-- компьютер.
Чаще всего этого хватает, но для больших сетей это неудобно.
3) Весь софт у меня устанавливается через WPKG (для Win-машин). Мы долго
спорили с коллегами по поводу установки софта WPKG vs AD и договорились,
что в WPKG сам софт ставится удобней (не нужно заморачиваться с
перепаковкой в msi, гибче возможности по проверкам на необходимость
установки и т.д.), но управление группами установки в AD лучше.
4) Вогнать Linux (Ubuntu 11.10) в Samba-домен оказалось то ещё приключение:
Сначала я пытался авторизоваться через Samba (не помню что именно, но
что-то в этой схеме мне не понравилось).
Потом я сделал аутентификацию через pam_ldapd и nss_ldapd (на манер
Debian Squeeze), но этот вариант тоже работал так себе, т.к. заставить
аутентифицироваться комп с доменной учёткой при отсутствии сети
почему-то не получилось (pam_ccred я использовал и nss-updatedb тоже),
возможно это связано именно с Ubuntu 11.10 и не стандартными для неё
pam_ldapd и nss_ldapd.
Достаточно просто и элегантно заработал вариант с LDAP через pam_sss и
nss_sss (это клиентская часть FreeIPA, которая появилась начиная с
Ubuntu 11.10, в ReHat-based, по идее, должно быть уже давно). Но в этом
варианте не работает сквозная аутентификация (SSO), т.к. Linux ничего не
знает о NTLM, а Kerberos я не поднимал.
Для подключения шар, требующих аутентификации, можно использовать
pam_mount, но (чьёрт побери!!!) это нафиг ломало сеть при засыпании
ноутбука, так что я от него отказался.
5) Я уже долго и занудно ищу варианты админки для управления учётками в
LDAP, до сих пор не нашёл... Из того что можно посмотреть:
-- LDAP Account Manager (LAM) -- простой, вроде всё необходимое есть,
но запуск скриптов на создание учётки только в коммерческой верссии,
поэтому отпал.
-- GoSA -- супермегакомбайн, который вносит множество своих атрибутов
в LDAP для работы. Если бы оно управляло только учётками, я бы этого
монстра наверно полюбил, но оно хочет управлять даже настройками
почтового сервера... Можно конечно все эти мегаплюшки просто
игнорировать, но воевать с менеджером учёток за то чтобы он делал только
нужную мне работу я не хочу.
-- Zivios -- издалека похоже на то, что нужно (управление LDAP,
Kerberos, DNS, Samba), но практически ничего невозможно найти по опыту
реального использования этой штуки не то что на русском, а даже на
английском языке. Плюс отсутствие большого вендора (ala RedHat) за
спиной внушает опасение за дальнейшую судьбу проекта.
P.S. sorry за копию в личку (сто лет в рассылку не отвечал)
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4f68157e.7010...@k-sc.ru
