Здравствуйте 12 ноября 2008 г. 10:42 пользователь Anton Farygin <[EMAIL PROTECTED]> написал: > Stanislav Ievlev пишет: >> >> Привет всем! >> >> Предположим, что alterator работает в сети по модели типа puppet или >> cfengine. >> >> То есть администратор может запрашивать однотипные изменения сразу на >> нескольких машинах (сабмитить задачи), а машины по мере подключения к сети >> забирают накопившиеся для них задания и исполняют. >> >> Ну например, сисадмин делает таким образом точечные обновления по >> безопасности на пачке рабочих машин. >> >> Вопрос: А какие ещё задачи могут решаться подобным образом? > > Добавление/удаление пользователей, смену паролей, установка ПО, настройка > сети (например шлюз поменять), настройка принтеров, выключение компьютеров > (надо все машины выключить, такое тоже бывает), мониторинг. >
Я бы разделил эти задачи на две группы: административные задачи управления, и локальные политики безопасности. Первые включают в себя действия по управлению компьютером (например, добавление пользователей или установка/удаление специфичного софта). Вторые штука менее понятная, но при грамотных реализации и использовании, более полезная. Например, массовая настройка pam_access для удалённого доступа по ssh (при использовании LDAP, позволит ограничить список пользователей, которые могут заходить удалённо по группе или списку, а не наличию домашнего каталога) или массовая установка, например бухгалтерского или учебного ПО. В категорию политик, я бы добавил весь набор (хотя там есть, что и не стоит выносить) возможностей control. Например, массовая смена возможностей su и sudo с wheel на public. Как было замечено интересен вариант группировки машин, иначе нужно вручную списки составлять. В LDAP-based решениях для этого используются объекты компьютеры, которые группируются в контейнерах... Механизм назначения различных наборов правил по переконфигурированию компьютеров, называют групповыми политиками. Для того, чтобы обеспечить автоматизацию применения политик механизм должен обеспечивать безопасный доступ по управлению компьютерами - прозрачную аутентификацию. К сожалению, SSH-based решения c копированием ключей здесь не очень подходят. Остаётся Kerberos, восполльоватся которым крайне не просто, но это отдельная история... -- Sin (Sinelnikov Evgeny) _______________________________________________ devel-conf mailing list devel-conf@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/devel-conf
