| |
| |
| |
| 4.75, Docent (??), 22:08, 01/06/2012 [^] [^^] [^^^] [ответить]
| +/– |
Аналогично, уже около года.
Полностью собрал сеть с AD на базе samba4, в сети около 30 компьютеров с виндой, но ни одного виндового сервера, т.ч. на съэкономленные деньги за клиентские лицензии получилось приобрести второй сервер HP DL360 и собрать из двух таких серверов кластер под управлением Proxmox. Вот на этом кластере все сервера и крутятся.
Самбу собираю из гита, пока проблем не замечал.
| | |
|
|
|
| 1.2, daemon666 (?), 11:43, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 заканчиваю писать web-морду, для управления учетками samba-домена, а так классическая статься как запустить samba-домена на ldap-е
| | |
| |
| 2.16, Сергей (??), 14:01, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> заканчиваю писать web-морду, для управления учетками samba-домена, а так классическая
> статься как запустить samba-домена на ldap-е
Есть проект ASLDAP, там есть web-морда для управления пользователями домена на базе PHP и это там как составная часть проекта, сам проект это скрипт создания домена + почтовик + еще что-то правда на базе фри..
| | |
| 2.78, Johny (?), 08:32, 04/06/2012 [^] [^^] [^^^] [ответить]
| +/– |
> заканчиваю писать web-морду, для управления учетками samba-домена, а так классическая
> статься как запустить samba-домена на ldap-е
Я что-то не пойму, а стандартной оснасткой из MMC домен на самбе не админиться что ли?
Даже во времена второй самбы можно было вроде создавать общие ресурсы например.
| | |
|
| 1.3, Аноним (-), 11:48, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Странно, а я когда-то делал так что контроллер домена сам создавал учетку для компьютера, при вводе его в домен (виндовая во всяком случае).
| | |
| |
| 2.9, Аноним (-), 12:59, 31/05/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Странно, а я когда-то делал так что контроллер домена сам создавал учетку
> для компьютера, при вводе его в домен (виндовая во всяком случае).
Ну мля, за что минус? Это был скорее вопрос.
Потому что нифига не приколько добавлять одну учетку для компа и еще всякие учетки пользователя.
| | |
|
| 1.6, Аноним (-), 12:01, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
Возни так много, и результат такой нестабильный что проще 2008-ую купить по акции, и крутить в виртуалке. Особенно хреново работают в таком домене win7 ноутбуки.
| | |
| |
| 2.8, Anonymous1 (?), 12:34, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
Похоже, что это связано с некоторыми очаровательными особенностями стека протоколов Microsoft TCP/IP в Win7, типа анализа топологии сети. Я, например, столкнулся с такой его особенностью - сеть видеонаблюдения (медь+оптика, управляемые свитчи с SFP модулями) WIN7 на "сервере видеонаблюдения" видит не-виндовые компы только присоединенные к тому же свитчу. Виндовые компы видит по всей сети ПОСЛЕ разового подключения нового компьютера к тому же свитчу. Это касается только Win7.
Высока вероятность того, что клиенты (особенно ноутбуки) с Win7 исправно работают с не-виндовым доменом только при подключении к одному и тому же свитчу (точнее говоря, в едином пространстве коллизий) - мы же обеспечили повышенную безопасность новой версии Windows для хомячков...
| | |
| |
| 3.52, Аноним (-), 19:16, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Похоже, что это связано с некоторыми очаровательными особенностями стека протоколов Microsoft
Не важно. Важно, что не работает стабильно в этой связке - значит непригодно, ка было сказано выше.
| | |
|
| 2.27, Аноним (-), 15:22, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
Это, конечно, здорово, но придётся ещё на каждый пк/каждого пользователя купить доп лицензию.
| | |
| 2.30, Аноним (-), 15:42, 31/05/2012 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Возни так много, и результат такой нестабильный что проще 2008-ую купить по акции, и крутить в виртуалке.
А смысл ее покупать? EULA все равно запрещает пускать не под hyper-v.
| | |
|
| 1.7, Дед Анон (?), 12:10, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Отличная статья! Респект автору!
Конечно же в сети полно разных HowTO по настройке LDAP, но как то они не по людски написаны(лишь бы сделать ), что то вроде копируем отсюда, вставляем сюда и т.д.
Такой подход к делу заранее неправилен так как не даёт понимания сути того что делаешь.
В данной же статье я наконец таки проникся тем что написано и благодарен автору за такую статью(как и за все статьи на сайте wiki.sys-adm.org.ua, которые не раз меня выручали)!
| | |
| 1.10, ALex_hha (ok), 13:12, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > А где же samba4?
когда она выйдет из стадии альфа, если такое вообще будет когда-нибудь, тогда и посмотрим на нее более плотно. Я пока что не рискну внедрить samba 4 в продакшен для 300+ компьютеров. Хотя в рассылках самбы многие пишут что уже используют ее в продакшене, но это дело личное
| | |
| |
| 2.14, Andrew (??), 13:56, 31/05/2012 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Более года в продакшене на alpha14 в сети с 50+ компьютеров. Недавно проапдейтились на alpha20. Rock Solid. И, кстати, недавно вышедшая alpha21 имеет все шансы стать последней альфой- следующий срез уже будет иметь статус беты.
Альфа Samba4, во многом благодаря TDD, это совершенно не то, что мы привыкли называть альфой. Отличный стабильный продукт, просто многих запланированных на релиз рюшечек еще не хватает.
| | |
|
| 1.11, GNercYuR (ok), 13:28, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 В чём смысл городить такую связку в которой перед введением компа в домен, надо ещё на сервере чего-то вручную ввести? Есть же опция в самбе для этого (что у Лиссяры отлично расписано):
add machine script = /usr/local/etc/samba/add_machine_script.sh "%u"
Во-вторых, зачем такой кастрированный домен нужен? Если для 10 компов, то ладно ещё, опять же я лично домен поднимаю не только для централизованной авторизации, но и для групповых политик в большей степени, тут и настройка клиентских ПК, и установка/обновление ПО у клиентов, писать такую статью с анонсом на авторитетном IT-ресурсе, так предлагать нормальное законченное решение.
Сколько таких статей не читал (про связку Samba PDC + ...), везде кто-нибудь рассказывает что у него и политики групповые реализованы и все остальные плюшки, однако в виде статей к сожалению имеются лишь абсолютно одинаковые по мне так почти бесполезные огрызки.
| | |
| 1.13, ALex_hha (ok), 13:37, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> В чём смысл городить такую связку в которой перед введением компа в домен, надо ещё на сервере чего-то вручную ввести? Есть же опция в самбе для этого (что у Лиссяры отлично расписано):
я описывал этот момент и в чем отличие. Никто тебе не мешает вводить компьютеры двумя способами
> Во-вторых, зачем такой кастрированный домен нужен?
статью не читал? Там рассказывается зачем и для чего. AD это уже совсем другая история
> Сколько таких статей не читал (про связку Samba PDC + ...), везде кто-нибудь рассказывает что у него и политики групповые реализованы и все остальные плюшки, однако в виде статей к сожалению имеются лишь абсолютно одинаковые по мне так почти бесполезные огрызки.
рассказывать можно все, что угодно, NT4 не поддерживает политики как таковые
> Возни так много, и результат такой нестабильный что проще 2008-ую купить по акции, и крутить в виртуалке.
в чем не стабильный? У меня вот за более чем 2 года никаких проблем, а на windows форумах только и вижу - "Поставил обновления от валилась репликация" и т.п. :) Ну и не забываем цену такого решения на Windows, а это как минимум нужно два КД + 300 CAL. Так что сумма не маленькая, имхо
> Особенно хреново работают в таком домене win7 ноутбуки.
более сотни Windows 7 Pro (в том числе и на ноутах) никаких проблем за более чем 2 года
| | |
| |
| 2.17, Аноним (-), 14:12, 31/05/2012 [^] [^^] [^^^] [ответить] | +/– | И выбрал самый неудобный способ Спасибо, Кэп А ничего, что политики реализуютс... большой текст свёрнут, показать | | |
| |
| 3.20, dmitriy (??), 14:33, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
А что не так в Calculate DS? И машины в домен просто вводятся, и шаблоны пользовательских профилей работают. И перемещаемые профили синхронизируются, и.т.д.
| | |
|
| 2.73, ram_scan (?), 15:11, 01/06/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> рассказывать можно все, что угодно, NT4 не поддерживает политики как таковые
Да ну. Даже win95 поддерживала политики "как таковые". Более того, их вполне реально было раздавать даже с нетваревского сервера, что я и делал когда деревья были зеленее а девки сисястее. Только вот редактор политик из коробки не шел, либо с какими-то релизами винды не шел. Давно было, не помню точно. Но взять было где, и у гейца на сайте про то было написано. И где брать и как юзать.
Собсно все тогда модные твикеры менюшек-фичей-сектюрити делали ни что иное как локальную политику редактировали.
Правда фич там было заметно поменьше нынешнего и больше одной политики на домен (или нетваревское поддерево) сгородить было низзя (файл политики всего один, сколько логон каталогов удается сколхозить столько вариантов и можно нарожать, к OU нетварскому несподручно привязывать было конеш). Но надевались они и по имени машины, и по имени юзера. и по членству в группе.
| | |
|
| 1.15, Аноним (-), 14:00, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Подобные статьи тоже читаю уже давно, с середины нулевых годов, наверное. Ничего не меняется, автор даже скриптом автодобавления машины не воспользовался, не говоря уже о скриптах, хоть частично выполняющих функционал ГП.
P.S. На Samba не вернусь никогда!
| | |
| 1.18, ФФ (ok), 14:12, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Полезная вещь, особенно для тех, кто хотел бы слезть с виндовой иглы.
| | |
| |
| 2.64, AdVv (ok), 02:44, 01/06/2012 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > Полезная вещь, особенно для тех, кто хотел бы слезть с виндовой иглы.
Ты сам понял какую хрень сказал ?
| | |
| |
| 3.68, ФФ (ok), 08:01, 01/06/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Ты сам понял какую хрень сказал ?
Не осилил, сынок? )))
| | |
| |
| 4.76, AdVv (ok), 00:00, 02/06/2012 [^] [^^] [^^^] [ответить]
| +/– |
>> Ты сам понял какую хрень сказал ?
> Не осилил, сынок? )))
Что-то я не припоминаю чтобы у моих родителей наблюдался синдром дауна.
| | |
|
|
|
| 1.19, ALex_hha (ok), 14:14, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> автор даже скриптом автодобавления машины не воспользовался
еще один слепой :D
в smb.conf есть
add machine script = /usr/sbin/smbldap-useradd -w '%u' -g 515
> P.S. На Samba не вернусь никогда!
мы рады за тебя :)
> не говоря уже о скриптах, хоть частично выполняющих функционал ГП.
жалкое подобие, которое мне не нужно. Если кому то будет нужно, то никто не запрещает добавить необходимый функционал
Еще раз, статье не о том, как на самбе сделать аналог AD. samba 3 + ldap != AD, чтобы там кто не говорил
| | |
| |
| 2.23, GNercYuR (ok), 14:59, 31/05/2012 [^] [^^] [^^^] [ответить] | +5 +/– | Статья если рассматривать её как грамотно и доступно и последовательно написанны... большой текст свёрнут, показать | | |
| |
| 3.32, ФФ (ok), 15:47, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– | |
>Для маленькой конторы городить огород с дополнительным сервером или сервисом на существующем сервере требующего дополнительного внимания
А что такого? контроллер+шлюз+Samba/NFS+[ещё что-нибудь] - вполне бюджетный и в то же время достаточно надёжный вариант.
>виндовый сервер можно просто реализовать в виртуалке под юниксом на шифрованном разделе и никто его и никогда не найдёт
Дело не только в деньгах, а скорее в надёжности. Контроллер на ЛДАПе включил и забыл где он стоит. Самба нужна только если в сети есть виндозные клиенты, и при этом требуется разграничить доступ к ресурсам.
| | |
| |
| 4.36, GNercYuR (ok), 16:38, 31/05/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>А что такого? контроллер+шлюз+Samba/NFS+[ещё что-нибудь] - вполне бюджетный и в то же время достаточно надёжный вариант.
Я про пельмени, вы про плюшки. Я где-то хоть слово сказал о том что роутер/самба/почтовик/ещё что угодно не нужно?
Я высказал мнение конкретно про реализацию (читайте слитно а не раздельно следующие два слова): SAMBA PDC
> Дело не только в деньгах, а скорее в надёжности. Контроллер на ЛДАПе включил и забыл где он стоит. Самба нужна только если в сети есть виндозные клиенты, и при этом требуется разграничить доступ к ресурсам.
Контроллер на лдапе включил и работает, это прекрасно, а теперь прочтите пожалуйста то, что я написал в своём посте выше. Я ни слова не сказал о надёжности, я сказал об отсутствии в моём представлении у данного решения практической пользы. И причины по которым я так считаю я описал там же.
Вы похоже из тех, для кого: Винда - плохо, линукс - хорошо!
А я повторю из тех, для кого: Первичный инструмент - FreeBSD, если у работодателя сеть с виндовыми машинами и к тому же большая. То я просто делаю хорошо свою работу и перевожу сеть для массы выгод как себе так и работодателю на MS AD, а уж файловые сервера у меня все на SAMBA с авторизацией в АД.
Считаю более верным решением не болеть красноглазием а просто выполнять свою работу, используя для этого наиболее подходящие инструменты.
| | |
| |
| 5.40, ФФ (ok), 17:01, 31/05/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
>Я высказал мнение конкретно про реализацию (читайте слитно а не раздельно следующие два слова): SAMBA PDC
>я сказал об отсутствии в моём представлении у данного решения практической пользы.
Ваше мнение понятно, но оно не более чем Ваше. Моё мнение иное (и да, оно не более чем моё). Я считаю решение, предложенное в статье, вполне достойным. Исходя из личного опыта.
>Вы похоже из тех, для кого: Винда - плохо, линукс - хорошо
Возможно, Вы довольно точны в оценке. Да, я считаю, что винда - плохо. И что?
>Считаю более верным решением не болеть красноглазием а просто выполнять свою работу
Т.е. "болеющий красноглазием" не может "просто выполнять свою работу", в отличие от "болеющего фрибздизмом", да?
>используя для этого наиболее подходящие инструменты.
Вот именно. Затем статья и нужна, чтобы жертвы билла гейтса узнали про инструменты.
| | |
| |
| 6.47, GNercYuR (ok), 18:46, 31/05/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Возможно, Вы довольно точны в оценке. Да, я считаю, что винда -
> плохо. И что?
И то, что я не считаю винду плохой только потому что это винда. Я рассматриваю ОС (в работе по крайней мере) как инструмент, а не как идею, религию или причину для самовыражения.
В вашем же случае похоже что это именно так. Потому как с управлением большого парка ВИН-машин, без АД обойтись сложно. Хотя возможно такие решения есть и они работают, а судя по всему с выходом 4-ой самбы такое решение довольно стройное и не костыльное всё-таки появится и я к Вашему удовольствию, с удовольствием буду его использовать.
> Т.е. "болеющий красноглазием" не может "просто выполнять свою работу", в отличие от
> "болеющего фрибздизмом", да?
У меня нет фрибэсэдизма. FreeBSD только на домашнем ПК, на ПК родных, на всех файловых, веб, ftp, mysql, rsync, интернет шлюзах и почтовых серверах.
А винда как контроллер домена в виртуалках опять же которые на фре соседствуют с другими сервисами. Да ещё в одном месте виндовый Exchange сервер, к которому я правда прикрутил фронтенд опять же под фрёй.
Но этот эксчейндж просто потому что, как был там задолго до того как я туда пришёл и никто от него отказываться не готов.
А ещё несколько центосов у клиентов у которых требуется оракл.
> Вот именно. Затем статья и нужна, чтобы жертвы билла гейтса узнали про
> инструменты.
"Красноглазие" вполне нормально подтверждается выражениями типа "жертвы билла гейтса", когда человека судят по используемой операционной системе. Это слишком красиво! :))))
| | |
| |
| 7.69, ФФ (ok), 08:03, 01/06/2012 [^] [^^] [^^^] [ответить]
| +/– |
> У меня нет фрибэсэдизма. FreeBSD только на домашнем ПК, на ПК родных,
> на всех файловых, веб, ftp, mysql, rsync, интернет шлюзах и почтовых
> серверах.
)))) ноу коммент
| | |
|
|
|
|
| 3.67, Аноним (-), 06:25, 01/06/2012 [^] [^^] [^^^] [ответить] | +1 +/– | GNercYuR - а ты почему решил что если в этой статье об этом не написано - то это... большой текст свёрнут, показать | | |
|
|
| 1.21, ALex_hha (ok), 14:37, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> Особенно плохо, когда пользователь работает на компах и с WinXPSP3, и на Win7, и профиль у него перемещаемый. Я Вас предупредил лишь о некоторых проблемах...
не использую перемещаемые профили из-за таких граблей, собственно они есть и на АД. Попробуй с win xp -> Vista > Win 7 -> Win XP и удивитесь что будет с вашим профилем и настройками программ. Так что я намерено не использую этот функционал. Да и в связи с родом деятельности он не нужен как таковой, даже если бы работал корректно.
> Попробуйте последнюю стабильную версию в ветке 3.6 и расскажите, легко ли стало добавлять в "домен" новые узлы?
зачем, чтобы было? 3.6 следует использовать только если ну ОЧЕНЬ нужен smb2, других причин использования не вижу
> Спасибо, Кэп! А ничего, что политики реализуются через скрипты на рабочих станциях?
та ты что, а мужики то и не знали! А ничего что скрипты запускаются от имени пользователя и ОЧЕНЬ урезаны в правах?
> А Вы хоть какие-нибудь необходимые управляющие действия проводите?
что ты подразумеваешь под "управляющие действия" ?
> И выбрал самый неудобный способ.
та ты что, просвети тогда как удобнее, может я чего не знаю? Перейти на Win2k8 и AD не предлагать :D
> Или просто всё на самотёк: не трожь, раз работает?
обновлять то, что отлично работает и выполняет свои функции не стоит. Это только в MS манагеры вам кричат, что все, Vista фигня давай переходи (плати бабки) за Win 7, только ты перешел, а тут тебе снова - "Ты до сих пор используешь Win 7? Та уже все сидят на Win8. Переходи (плати бабки)"
P.S.
Сразу видно true Windows админа
| | |
| |
| 2.55, Аноним (-), 22:20, 31/05/2012 [^] [^^] [^^^] [ответить] | +/– | Ага, знаем-знаем, не нужно , потому что Ваше решение просто этого сделать НОРМА... большой текст свёрнут, показать | | |
| |
| 3.56, ALex_hha (??), 22:45, 31/05/2012 [^] [^^] [^^^] [ответить] | +1 +/– | еще раз, для тех кто в танке - мне перемещаемые профили не нужны Или они козырн... большой текст свёрнут, показать | | |
| |
| 4.58, Аноним (-), 23:17, 31/05/2012 [^] [^^] [^^^] [ответить] | +/– | Да какая разница, в каком домене клиенты Скрипты, например, влияющие на оснастк... большой текст свёрнут, показать | | |
| |
| 5.62, ALex_hha (ok), 23:34, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
>>мы говорим про домен NT4? ;)
> Да какая разница, в каком домене клиенты? Скрипты, например, влияющие на оснастку
> secpol.msc, размещаются У НИХ, а НЕ НА КОНТРОЛЛЕРЕ. Но это ненастоящая
> централизация, хотя позволяет многое сделать. Надеюсь, у Вас ПК под Win9x
> и NT 4.0 в домене нет? Если Win2k и новее -
> работает, поверьте!
настолько старых нет :) Но вот возвращаясь к puppet, например, на Windows XP он работать не будет, только на Win 7. Но это так к слову
> Специально для Вас нашёл - ловите, может, пригодится хоть немного: http://www.xakep.ru/magazine/xa/134/126/1.asp,
> а то мне за такие неуправляемые "домены", просто страшно.
это все классно, только причем тут набор сторонних утилит к домену? Многие из них я использую и сейчас без АД
> Домен мало поднять для базовой аутентификации и доступа к сетевым ресурсам, как у Вас.
и? Вы не ответили на мой вопрос. Статья о поднятии PDC, а не о настройке WSUS сервера, например.
> Его дальше развивать и улучшать функционал надо!
вот и будут дальнейшие статьи, зачем все пихать в одно?
> Иначе это не администрирование, а сплошная беготня с эникейством...
без этого иногда никак :)
> Например, у Вас сервер печати централизованный? Для всех принтеров ppd нашли? Или он всё-таки на Windows-узле?
нет, ибо не нужно в связи со спецификой работы. Единственное место где используется Windows - сервер терминалов, без него ну никак, пришлось купить :)
| | |
| |
| 6.63, Аноним (-), 00:14, 01/06/2012 [^] [^^] [^^^] [ответить]
| +/– |
Спасибо за ответы, но вот чего точно не понял: на обычных клиентских ПК не Windows? Зачем же Samba тогда? Или Вы с помощью smbclient/Likewise Open и т.д. *NIX-машины к PDC цепляете?
| | |
|
| 5.65, Аноним (-), 06:02, 01/06/2012 [^] [^^] [^^^] [ответить] | +1 +/– | Чисто чтобы порвать шаблон кое кому Я _виндовым_ клиентам виндовые родные... большой текст свёрнут, показать | | |
|
|
|
|
| 1.22, Diceman (?), 14:51, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Поддержу автора, ибо уже больше двух лет только поглядываю на нагиос, который светится зелененькими ОК. Остальное все работает на ура
| | |
| 1.24, sasku (ok), 15:02, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Статья то правильная, только устарела лет так на 5
От, вместо переписывания чужих статьей, взял бы и написал о настройке Samba+Ldap для slapd.d.cn=config
Это было бы намного интересней. По крайней мере начинающим
| | |
| 1.25, ALex_hha (ok), 15:07, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> 1. Централизованный рулёж пользователями (создание, назначение групп)
> 2. Автоматизация разворачивания и обновления ПО на клиентских ПК.
не столь актуально, но решается другими методами. Да не очень удобно, но тут ничего не поделаешь. Хотя АД ведь позволяет только msi деплоить насколько знаю, хотя может уже что то поменялось
> 3. Настройка ГП для групп пользователей и групп машин.
вот все windows админы кричат про АД и про то, что ГП это сила, при этом используют от силы 1-2% ГП. Так что тут спорный момент. Но все еще зависит от специфики работы компании
> 4. Централизация управления территориально-разрозненными сетями предприятия.
нет такого, что в конкретном случае мне оно и не нужно было. Но по опыту предыдущих администраторов которые админили такое было много матюков, когда постоянно отваливалась синхронизация с КД в Америке или Индии (руки были не кривые)
> 5. И ещё другие...
очень аргументировано и убедительно :)
P.S.
на самом деле не хватает полноценных ГП
| | |
| |
| 2.28, GNercYuR (ok), 15:23, 31/05/2012 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> нет такого, что в конкретном случае мне оно и не нужно было. Но по опыту предыдущих администраторов которые админили такое было много матюков, когда постоянно отваливалась синхронизация с КД в Америке или Индии (руки были не кривые)
Тут должен не согласиться, вот буквально полтора года обслуживаю контору у которой офисов много и количество их растёт. Именно тут я и понял всю безальтернативность MS AD в таком случае. Конечно по первой кушал проблемы с синхронизацией и т.п. но в течении буквально 2-х трёх месяцев со всеми разобрался, теперь:
В каждом офисе шлюз под фрёй, на ней виртуалбокс с контроллером, vpn до центрального офиса, каждый офис в своём сайте и никаких проблем с синхронизацией я не ощущаю.
При том, что 3 офиса вообще подключены методом: 3G модем в шлюзе, поверх него openvpn до центрального офиса, связь на данном объекте ужасная, так что рвётся соединение раз в 10 минут точно и восстанавливается иногда в течение получаса. Но тем не менее всё отличненько работает и пить-есть не просит.
Можно хаять МС сколько угодно, но для своей гомогенной среды они реализовали всё отлично и безотказно при правильной реализации. Остальное чаще всего - проблемы конкретного админа не желающего признавать, что он просто где-то чего-то не знает и неправильно настроил.
| | |
| |
| 3.31, Mikula (?), 15:42, 31/05/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Именно тут я и понял всю безальтернативность MS AD в таком случае.
В своё вермя прекрасно жило на Novell Directory Service. Так что альтернатива есть всегда.
| | |
| |
| 4.39, GNercYuR (ok), 16:52, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> В своё вермя прекрасно жило на Novell Directory Service. Так что альтернатива
> есть всегда.
Согласен, погорячился.
Я с этим продуктом познакомился (только как пользователь) в нашем универе. Но к сожалению как инструмент его не видел, не щупал, не пользовался. Надо посмотреть хоть в инете что за функциональность у этого продукта, что может, чего не может.
Но ведь он же тоже платный вроде?
| | |
|
| 3.33, ФФ (ok), 15:55, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> понял всю безальтернативность MS AD в таком случае. Конечно по первой кушал
> проблемы с синхронизацией и т.п. но в течении буквально 2-х трёх
> месяцев со всеми разобрался
Тут Вы правы - LDAP не может синхронизироваться [/сарказм]
| | |
| |
| 4.38, GNercYuR (ok), 16:48, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
>> понял всю безальтернативность MS AD в таком случае. Конечно по первой кушал
>> проблемы с синхронизацией и т.п. но в течении буквально 2-х трёх
>> месяцев со всеми разобрался
> Тут Вы правы - LDAP не может синхронизироваться [/сарказм]
Прекрасно знаю что лдап может синхронизироваться, но:
1. В данном решении про это ни слова. Понимаю что у автора в данном случае просто нет такой задачи. Но если бы эта статья хотя бы была с описанием синхронизации она стала бы более полезной к прочтению просто из-за этого момента. А так это просто одна статья шаг в шаг (это не плохо и не хорошо, это просто факт) такая-же как миллионы таких же и на этом ресурсе в том числе.
2. Если бы ещё и возникла потребность в синхронизации этих лдапов в разных офисов и к тому же не было функциональности присущей МС АД (хотя бы групповых политик), то я бы автора статьи заподозрил в мазохизме и некотором помешательстве рассудка.
Теперь чтобы вы дальше не нападали не поняв то, что я пишу для вас краткие тезисы моего сообщения:
1. Данное решении по функциональности не подходит для >10 компов.
2. Синхронизация между ЛДАП есть, но из-за п.1 она ещё менее нужна в рамках ЭТОЙ статьи (если будет статья с более обширной функциональностью, то нет)
3. Я считаю что вы не читающий сообщения но отвечающий на него человек, либо читающий но неспособный понять о чём в сообщении говорится.
| | |
| |
| 5.42, none_first (ok), 17:30, 31/05/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
 никак не пойму - неужто название АД такое притягательное ?...
может к дохтуру?!
т.е. системная шара на ПДЦ и невнятные скрипты с невнятной структурой (плохо предсказуемой) наименований, кот. МС назвало ЖП - это, типа, крута...
вот людЯ-то "не знают" ;) http://habrahabr.ru/company/badoo/blog/142708/
и как они без такого живут?! ;)
| | |
| |
| 6.45, GNercYuR (ok), 18:29, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
1. Как связана система для управления линукс серверами с управлением сетью виндовых машин?
2. При чём тут что-то притягательное или нет? Мы говорим о полезности данного конкретного материала.
3. Внятно или нет там сделано у МС, но это работает и не сбоит. Если сбоит у кого-то, то от себя могу сказать что это проблемы кого-то, т.к. у меня если я поднимаю АД ничего не сбоит.
Вы также как и ФФ не читаете или не понимаете того, пишут другие люди.
| | |
| |
| 7.48, GNercYuR (ok), 18:52, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
Извините за резкость. Посмотрел побольше про пуппет, можно будет попробовать его как нибудь.
Слышал про него в новостях, мельком читал, но лень матушка не давала возможности его попробовать.
Хотя работа в cygwin не внушает большого оптимизма.
| | |
|
|
| 5.44, ФФ (ok), 18:11, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
 >3. Я считаю что вы не читающий сообщения но отвечающий на него человек, либо читающий но неспособный понять о чём в сообщении говорится.
Подойдите к зеркалу и познакомьтесь с этим человеком.
По остальным пунктам: какой смысл это с Вами обсуждать, если Вы, судя по всему, в глаза не видели реализацию DC на LDAP?
| | |
| |
| 6.46, GNercYuR (ok), 18:34, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Подойдите к зеркалу и познакомьтесь с этим человеком.
Извините, если обидел. Просто не люблю когда что-то пытаешься написать а тебе отвечают не по теме сообщения, при этом ещё и "опровергая" тебя. Получается путаница тёплого с мягким.
> По остальным пунктам: какой смысл это с Вами обсуждать, если Вы, судя
> по всему, в глаза не видели реализацию DC на LDAP?
Аргументы кончились вот и хорошо, вот и спору конец :)
А связку эту я делал, по Лисяровым докам, только делал это в виртуалке, просто чтобы посмотреть что, да как. Понял что это даёт, но для себя решил что такое решение не нужно, по вышеописанным причинам.
| | |
| |
| 7.66, Аноним (-), 06:16, 01/06/2012 [^] [^^] [^^^] [ответить]
| +/– |
Врёшь - уж извини за резкость ...
Ибо даже на _не_ точенном OpenLDAP - синхронизация делается на раз-два - даже виндузятниками :)
| | |
|
|
|
|
|
|
| 1.26, ALex_hha (ok), 15:13, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Статья то правильная, только устарела лет так на 5
От, вместо переписывания чужих статьей, взял бы и написал о настройке Samba+Ldap для slapd.d.cn=config
Это было бы намного интересней. По крайней мере начинающим
потому что, когда я поднимал эту связку в продакшене, CentOS 6 еще не было ;) А что мешает перенести LDAP с 2.3 на 2.4?
> А что не так в Calculate DS? И машины в домен просто вводятся, и шаблоны пользовательских профилей работают. И перемещаемые профили синхронизируются, и.т.д.
стараюсь не разводить зоопарки на работе. CentOS отлично справляется с поставленной задачей.
| | |
| 1.35, ALex_hha (ok), 16:09, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Можно хаять МС сколько угодно, но для своей гомогенной среды они реализовали всё отлично и безотказно при правильной реализации. Остальное чаще всего - проблемы конкретного админа не желающего признавать, что он просто где-то чего-то не знает и неправильно настроил.
ничего не могу сказать, так как АД там администрировал не я, но ребята были опытные.
> эм, нафига оно надо если есть samba4
а то, что она альфа вас никак не смущает? Мы ведь говорим о решении не поиграться на виртуалке, а о продакшене, где час простоя, пока вы будете разбираться, а чего же оно не работает, просто не приемлем.
| | |
| |
| 2.60, kerneliq (ok), 23:18, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
 > а то, что она альфа вас никак не смущает? Мы ведь говорим
> о решении не поиграться на виртуалке, а о продакшене, где час
> простоя, пока вы будете разбираться, а чего же оно не работает,
> просто не приемлем.
За год проблем не было. 50 машин, все путем. GPO только не тестил, но должно работать.
| | |
| |
| 3.61, ALex_hha (ok), 23:22, 31/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> За год проблем не было. 50 машин, все путем. GPO только не
> тестил, но должно работать.
ну у меня пока нет особого желания/времени тестить ;)
| | |
|
|
| 1.53, Сергей (??), 20:09, 31/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Политики и в NT4 существовали, только вот документации почти не было, да и то что имелась на англицком была, да и сети были маленькие, вот и не прижились они в то время. В конченом счете, что такое политика, просто редактирование реестра локальной машины. Сейчас это выглядит просто и элегантно, а в сущности все осталось как в NT4, где-то на серверах или на локльной машине лежат файлики с расширением *.pol... С другой стороны наличие домена облегчает администрирование, начиная уже с 5-ти виндовых машин...
| | |
| |
| 2.70, ананим (?), 09:45, 01/06/2012 [^] [^^] [^^^] [ответить]
| +/– |
с 5 - да.
но с 500 порой бывает что групповых политек больше чем пользователей.
вначале закручивают гайки, потом пользователи пишут служебки "по-производственной необходимости открыть ресурс/сд/усб/сеть/впн/итд..."
и это разрастается так, что админы так же в "курсе" событий, как если бы их не было.
так что ими увлекаться тоже не стоит.
с другой стороны, домен в стиле нт4 в линуховой энкарнации - это бональный хомяк в сети. и/или его репликация
| | |
| |
| 3.74, ram_scan (?), 18:08, 01/06/2012 [^] [^^] [^^^] [ответить]
| +/– |
> но с 500 порой бывает что групповых политек больше чем пользователей.
>вначале закручивают гайки, потом пользователи пишут служебки "по-производственной необходимости открыть ресурс/сд/усб/сеть/впн/итд..."
Если на самотек все пустить то бардак ясный перец разрастется. Если заранее начинать морщить череп о том как выкручиваться когда кому-то захочется странного - терпимо. Я на парке чуть более тысячи машин обхожусь наверное десятком политик, мож чуть больше.
Голову особо не грею.
Хотя на мой взгляд NDS/eDirectory в плане удобства администрирования и гибкости была куда как гораздее чем AD.
| | |
|
|
| 1.71, кверти (?), 12:10, 01/06/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
вот скажите, у всех так - винда вводится в домен со второго раза при автоматическом добавлении учетки машины?
| | |
|
