forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуск Samba 4.17.0"
Отправлено Аноним, 20-Сен-22 20:02

> А что, по-вашему, крупный софт?
Автоматизации для сервис провайдеров. Корпоративные порталы на 10000+ человек штата. Крупные MDM-решения (1С весьма средненький), собственные, например, поверх AXAPTA.
> Вы это расскажите OVA Exchenge
MS Exchange это всего-навсего почтовый сервер, причем чисто Submission-агент. По умолчанию он ставится в AD Site и в идеале обменивается почтой между сайтами через Edge Transport роль у которой свой LDAP с частичной синхронизацией объектов. Он не просто обращается к AD, он хранит всю свою конфигурацию в AD... вот только он не аутентифицирует пользователей через LDAP, если вы не в курсе. Он не ходит в каталог сличать логины и пароли в зависимости от параметров аутентификации это делает либо IIS через отдельные учётные записи либо олицетворяя пользователей через NETWORK SERVICE по Kerberos, если используются формы и не используется WS-Federation. Есть продукты в MS, которые ходят в LDAP напрямую, но они обычно именно что должны работать с LDAP, тот же RADIUS (NPAS). Есть разница между тем что что-то использует протокол аутентификации и авторизации и что-то лезет в каталог с полными правами, чтобы оттуда хэши паролей дёргать для сравнения. Были бы вы поопытнее, знали бы единственный продукт в MS который так активно делает. Есть способ быстрой синхронизации AD с AzureAD, один из возможных сценариев. Специально для оболтусов^W малых предприятий, кто не осиливает поднять службы федерации. AzureAD Connect называется эта штука. И то, она это не требует а предлагает как опцию.
А теперь давайте подумаем, как Exchange продавать как сервис.
- Ставим AD с правильным именем корня леса в формате "opennet.ru", чтобы было 2 уровня и чтобы никаких local и прочей неподпадающей под стандарт доменного именования дребедени, которые ставят себе двоечники
- Делаем субдомен clients.opennet.ru, с однонаправленным доверием, чтобы инфраструктура возымела выделенный корень
- Делаем по одному сайту на каждый датацентр (локацию), чтобы сформировать Disaster Recovery (пусть для простоты у нас две независимые локации)
- Ставим трёхсерверные физические кластеры Exchange так, чтобы 2 сервера были всегда в одном сайте, а третий в другом.
- Ставим балансировщики нагрузки с отказоустойчивостью на уровне сети (VRRP/BFD) чтобы точка входа в сервисы могла меняться между датацентрами в случае полного сбоя
- Настраиваем 2 независимые инфраструктуры резервного копирования по одной на каждую локацию
- Настраиваем HA/DR для инфраструктуры управляющего контура в выделенном корне леса
В итоге должна получиться группа кластеров, каждый из которых находится в демилитаризованной зоне, работает со своими контроллерами и не лезет дальше разрешенного.
Далее покупаем готовые панели управления или пишем свои собственные, которые организующие оркестрацию этой инфраструктуры. В этой ситуации каждый сайт представляет локацию и есть параметры репликации, отказоустойчивости, восстановления после сбоя и резервного копирования. Далее мы заводим новые и новые организации в AD (они ложатся в CN=Configuration), а пользовательские учетки мы грузим в OU выделенные под каждую организацию в основном каталоге.
Вот тут-то они и нужны эти OU. Когда есть несколько независимых и неуправляемых вами инфраструктур AD, пользователей которых нужно постоянно синхронизировать внутрь большого каталога и внутренние права и группы и много чего еще.
Пример я привожу с Exchange, потому что вы сами его вспомнили, но такая логика с любым сервисом, который хоть чуть готов к продаже as a Service. И вот если какой-то наглец подойдет ко мне лично с предложением "использовать FreeIPA" и "уютненьких группок и контейнеров хватит всем", то я сначала его попытаюсь хоть чему-то обучить, а если не получится, то тогда ударю больно по голове и не поленюсь для этого расшнуровать туфлю, чтобы не делать это руками.
> Какие сервисы есть в AD, которых нет в FreeIPA, кроме DSR, который там не сдался и делается вменяемыми средствами?
AD это не каталог, ADDS - это LDAP+DNS+Kerberos+SMB/DFRS+RPC+SOAP, тем кому это не надо могут использовать ADLDS, который даёт только LDAP не надо путать эти части AD. AD LDS тоже нужен и используется ну хотя бы в том же Exchange. А еще есть AD FS, без которого мало что можно сделать из того что я писал в посте выше. И еще есть AD CS, но увидеть его в крупном развертывании можно только в организации, которая реально требует контроля за политиками выдачи сертификатов, смарткартами и сетевыми устройствами ipsec и WPA Enterprise. Когда вы читаете требования AD, то вам дают исходя из нужд под ADDS, а они объективно выше чем у голой FreeIPA. Я специально не пишу в требования SMB1, NetBIOS, WINS и прочий легаси, который был разработан IBM, а потом куплен и адаптирован для Windows, это всё 10 лет как херят, вон даже ретрограды из Samba ключик добавили чтобы не собирать исторические подсистемы, которые ничего кроме проблем с безопасностью в инфраструктуру не привносят.
> А что же крутится на Web-сервере на крупных проектах? MediaWiki мелкий проект? GITLAB?
Один очень специфичный, а второй и вправду мелкий. А вообще Wiki на движке MediaWiki это такой

Исходное сообщение
"Выпуск Samba 4.17.0" Отправлено Аноним, 20-Сен-22 20:02
> А что, по-вашему, крупный софт? Автоматизации для сервис провайдеров. Корпоративные порталы на 10000+ человек штата. Крупные MDM-решения (1С весьма средненький), собственные, например, поверх AXAPTA. > Вы это расскажите OVA Exchenge MS Exchange это всего-навсего почтовый сервер, причем чисто Submission-агент. По умолчанию он ставится в AD Site и в идеале обменивается почтой между сайтами через Edge Transport роль у которой свой LDAP с частичной синхронизацией объектов. Он не просто обращается к AD, он хранит всю свою конфигурацию в AD... вот только он не аутентифицирует пользователей через LDAP, если вы не в курсе. Он не ходит в каталог сличать логины и пароли в зависимости от параметров аутентификации это делает либо IIS через отдельные учётные записи либо олицетворяя пользователей через NETWORK SERVICE по Kerberos, если используются формы и не используется WS-Federation. Есть продукты в MS, которые ходят в LDAP напрямую, но они обычно именно что должны работать с LDAP, тот же RADIUS (NPAS). Есть разница между тем что что-то использует протокол аутентификации и авторизации и что-то лезет в каталог с полными правами, чтобы оттуда хэши паролей дёргать для сравнения. Были бы вы поопытнее, знали бы единственный продукт в MS который так активно делает. Есть способ быстрой синхронизации AD с AzureAD, один из возможных сценариев. Специально для оболтусов^W малых предприятий, кто не осиливает поднять службы федерации. AzureAD Connect называется эта штука. И то, она это не требует а предлагает как опцию. А теперь давайте подумаем, как Exchange продавать как сервис. - Ставим AD с правильным именем корня леса в формате "opennet.ru", чтобы было 2 уровня и чтобы никаких local и прочей неподпадающей под стандарт доменного именования дребедени, которые ставят себе двоечники - Делаем субдомен clients.opennet.ru, с однонаправленным доверием, чтобы инфраструктура возымела выделенный корень - Делаем по одному сайту на каждый датацентр (локацию), чтобы сформировать Disaster Recovery (пусть для простоты у нас две независимые локации) - Ставим трёхсерверные физические кластеры Exchange так, чтобы 2 сервера были всегда в одном сайте, а третий в другом. - Ставим балансировщики нагрузки с отказоустойчивостью на уровне сети (VRRP/BFD) чтобы точка входа в сервисы могла меняться между датацентрами в случае полного сбоя - Настраиваем 2 независимые инфраструктуры резервного копирования по одной на каждую локацию - Настраиваем HA/DR для инфраструктуры управляющего контура в выделенном корне леса В итоге должна получиться группа кластеров, каждый из которых находится в демилитаризованной зоне, работает со своими контроллерами и не лезет дальше разрешенного. Далее покупаем готовые панели управления или пишем свои собственные, которые организующие оркестрацию этой инфраструктуры. В этой ситуации каждый сайт представляет локацию и есть параметры репликации, отказоустойчивости, восстановления после сбоя и резервного копирования. Далее мы заводим новые и новые организации в AD (они ложатся в CN=Configuration), а пользовательские учетки мы грузим в OU выделенные под каждую организацию в основном каталоге. Вот тут-то они и нужны эти OU. Когда есть несколько независимых и неуправляемых вами инфраструктур AD, пользователей которых нужно постоянно синхронизировать внутрь большого каталога и внутренние права и группы и много чего еще. Пример я привожу с Exchange, потому что вы сами его вспомнили, но такая логика с любым сервисом, который хоть чуть готов к продаже as a Service. И вот если какой-то наглец подойдет ко мне лично с предложением "использовать FreeIPA" и "уютненьких группок и контейнеров хватит всем", то я сначала его попытаюсь хоть чему-то обучить, а если не получится, то тогда ударю больно по голове и не поленюсь для этого расшнуровать туфлю, чтобы не делать это руками. > Какие сервисы есть в AD, которых нет в FreeIPA, кроме DSR, который там не сдался и делается вменяемыми средствами? AD это не каталог, ADDS - это LDAP+DNS+Kerberos+SMB/DFRS+RPC+SOAP, тем кому это не надо могут использовать ADLDS, который даёт только LDAP не надо путать эти части AD. AD LDS тоже нужен и используется ну хотя бы в том же Exchange. А еще есть AD FS, без которого мало что можно сделать из того что я писал в посте выше. И еще есть AD CS, но увидеть его в крупном развертывании можно только в организации, которая реально требует контроля за политиками выдачи сертификатов, смарткартами и сетевыми устройствами ipsec и WPA Enterprise. Когда вы читаете требования AD, то вам дают исходя из нужд под ADDS, а они объективно выше чем у голой FreeIPA. Я специально не пишу в требования SMB1, NetBIOS, WINS и прочий легаси, который был разработан IBM, а потом куплен и адаптирован для Windows, это всё 10 лет как херят, вон даже ретрограды из Samba ключик добавили чтобы не собирать исторические подсистемы, которые ничего кроме проблем с безопасностью в инфраструктуру не привносят. > А что же крутится на Web-сервере на крупных проектах? MediaWiki мелкий проект? GITLAB? Один очень специфичный, а второй и вправду мелкий. А вообще Wiki на движке MediaWiki это такой

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> А что, по-вашему, крупный софт?

> Автоматизации для сервис провайдеров. Корпоративные порталы на 10000+ человек штата. Крупные 
> MDM-решения (1С весьма средненький), собственные, например, поверх AXAPTA.

>> Вы это расскажите OVA Exchenge

> MS Exchange это всего-навсего почтовый сервер, причем чисто Submission-агент. По умолчанию 
> он ставится в AD Site и в идеале обменивается почтой между 
> сайтами через Edge Transport роль у которой свой LDAP с частичной 
> синхронизацией объектов. Он не просто обращается к AD, он хранит всю 
> свою конфигурацию в AD... вот только он не аутентифицирует пользователей через 
> LDAP, если вы не в курсе. Он не ходит в каталог 
> сличать логины и пароли в зависимости от параметров аутентификации это делает 
> либо IIS через отдельные учётные записи либо олицетворяя пользователей через NETWORK 
> SERVICE по Kerberos, если используются формы и не используется WS-Federation. Есть 
> продукты в MS, которые ходят в LDAP напрямую, но они обычно 
> именно что должны работать с LDAP, тот же RADIUS (NPAS). Есть 
> разница между тем что что-то использует протокол аутентификации и авторизации и 
> что-то лезет в каталог с полными правами, чтобы оттуда хэши паролей 
> дёргать для сравнения. Были бы вы поопытнее, знали бы единственный продукт 
> в MS который так активно делает. Есть способ быстрой синхронизации AD 
> с AzureAD, один из возможных сценариев. Специально для оболтусов^W малых предприятий, 
> кто не осиливает поднять службы федерации. AzureAD Connect называется эта штука. 
> И то, она это не требует а предлагает как опцию.

> А теперь давайте подумаем, как Exchange продавать как сервис.
> - Ставим AD с правильным именем корня леса в формате "opennet.ru", чтобы 
> было 2 уровня и чтобы никаких local и прочей неподпадающей под 
> стандарт доменного именования дребедени, которые ставят себе двоечники 
> - Делаем субдомен clients.opennet.ru, с однонаправленным доверием, чтобы инфраструктура 
> возымела выделенный корень 
> - Делаем по одному сайту на каждый датацентр (локацию), чтобы сформировать Disaster 
> Recovery (пусть для простоты у нас две независимые локации) 
> - Ставим трёхсерверные физические кластеры Exchange так, чтобы 2 сервера были всегда 
> в одном сайте, а третий в другом.
> - Ставим балансировщики нагрузки с отказоустойчивостью на уровне сети (VRRP/BFD) чтобы 
> точка входа в сервисы могла меняться между датацентрами в случае полного 
> сбоя 
> - Настраиваем 2 независимые инфраструктуры резервного копирования по одной на каждую локацию 
 
> - Настраиваем HA/DR для инфраструктуры управляющего контура в выделенном корне леса 
> В итоге должна получиться группа кластеров, каждый из которых находится в демилитаризованной 
> зоне, работает со своими контроллерами и не лезет дальше разрешенного.

> Далее покупаем готовые панели управления или пишем свои собственные, которые организующие 
> оркестрацию этой инфраструктуры. В этой ситуации каждый сайт представляет локацию и 
> есть параметры репликации, отказоустойчивости, восстановления после сбоя и резервного 
> копирования. Далее мы заводим новые и новые организации в AD (они 
> ложатся в CN=Configuration), а пользовательские учетки мы грузим в OU выделенные 
> под каждую организацию в основном каталоге.

> Вот тут-то они и нужны эти OU. Когда есть несколько независимых и 
> неуправляемых вами инфраструктур AD, пользователей которых нужно постоянно синхронизировать 
> внутрь большого каталога и внутренние права и группы и много чего 
> еще.

> Пример я привожу с Exchange, потому что вы сами его вспомнили, но 
> такая логика с любым сервисом, который хоть чуть готов к продаже 
> as a Service. И вот если какой-то наглец подойдет ко мне 
> лично с предложением "использовать FreeIPA" и "уютненьких группок и контейнеров хватит 
> всем", то я сначала его попытаюсь хоть чему-то обучить, а если 
> не получится, то тогда ударю больно по голове и не поленюсь 
> для этого расшнуровать туфлю, чтобы не делать это руками.

>> Какие сервисы есть в AD, которых нет в FreeIPA, кроме DSR, который там не сдался и делается вменяемыми средствами?

> AD это не каталог, ADDS - это LDAP+DNS+Kerberos+SMB/DFRS+RPC+SOAP, тем кому это не 
> надо могут использовать ADLDS, который даёт только LDAP не надо путать 
> эти части AD. AD LDS тоже нужен и используется ну хотя 
> бы в том же Exchange. А еще есть AD FS, без 
> которого мало что можно сделать из того что я писал в 
> посте выше. И еще есть AD CS, но увидеть его в 
> крупном развертывании можно только в организации, которая реально требует контроля за 
> политиками выдачи сертификатов, смарткартами и сетевыми устройствами ipsec и WPA Enterprise. 
> Когда вы читаете требования AD, то вам дают исходя из нужд 
> под ADDS, а они объективно выше чем у голой FreeIPA. Я 
> специально не пишу в требования SMB1, NetBIOS, WINS и прочий легаси, 
> который был разработан IBM, а потом куплен и адаптирован для Windows, 
> это всё 10 лет как херят, вон даже ретрограды из Samba 
> ключик добавили чтобы не собирать исторические подсистемы, которые ничего кроме проблем 
> с безопасностью в инфраструктуру не привносят.

>> А что же крутится на Web-сервере на крупных проектах? MediaWiki мелкий проект? GITLAB?

> Один очень специфичный, а второй и вправду мелкий. А вообще Wiki на 
> движке MediaWiki это такой

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру