The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск Samba 4.17.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск Samba 4.17.0"  +/
Сообщение от opennews (?), 14-Сен-22, 18:50 
Представлен релиз Samba 4.17.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию  файлового сервера, сервиса печати и сервера идентификации (winbind)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57782

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от истина в последней инстанции (?), 14-Сен-22, 18:51 
> В программе smbstatus реализована возможность вывода информации в формате JSON (включается опцией "--json").

Мда, формат который мы заслужили.

Это от тех у кого bash в портянках :D

Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск Samba 4.17.0"  +10 +/
Сообщение от Аноним (4), 14-Сен-22, 18:57 
На самом деле, jq -- это очень удобно.
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск Samba 4.17.0"  +17 +/
Сообщение от истина в последней инстанции (?), 14-Сен-22, 19:07 
На самом деле всё это не удобно ни человеку ни компьютеру.

Человеку удобен человеческий простой текстовый формат а не лапша из json или xml а компу удобно просто бинарные данные.

что json, что xml, что этот твой зверь jq. Тупняк одним словом.

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск Samba 4.17.0"  +7 +/
Сообщение от Аноним (4), 14-Сен-22, 19:14 
Ну, не скажи. С неструктурированными данными вообще никто работать не любит -- ни люди, ни машины. Xml конечно мощнее в плане скриптования, но слишком уж многословный и совершенно не человекочитаемый. Просто бинарные данные компу не удобно, они должны быть сериализованными для передачи и хранения. Сериализация в околотекстовый формат ничем не хуже.
Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск Samba 4.17.0"  –3 +/
Сообщение от Michael Shigorinemail (ok), 14-Сен-22, 19:25 
> Просто бинарные данные компу не удобно, они должны быть сериализованными
> для передачи и хранения.

Вот тут вспомнились рассказы разработчиков OOo насчёт "быстрого сохранения" в MSO: там тупо дампили куски памяти процесса в "документ".

Не как аргУмент, скорее один из антипримеров.

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (34), 15-Сен-22, 05:25 
А что в этом плохого? В Smalltalk, да и в множестве современных Схем, эта функция присутствует штатно. Дампнул образ, загрузил образ -- и поехали дальше работать.
Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 08:07 
Плохого? Ну, например, endianess у систем бывает разный. И оно вот так не портабельно без принятия специальных мер.

А еще у допустим 32 и 64 битов разный размер "нативных" слов, выравниванрий и проч. И как открыть это на вооооооон той системе, где это отличается?

Если все эти меры принять, в принципе мы уже сериализацией-десериализацией занялись и можно это и как-то покультурнее, конечно. Хотя JSON в этом смысле хрень, его и читать не больно удобно, и парсить - тоже. Да еще покажите мне кто вообще корректно парсинг JSON делает? Целые полтора браузера? А то видите ли остальные подразумевают урезаный subset, а если это не оно - что они только не вытворяют по этому поводу. Потому что generic парсинг произвольного ввода на JSON который формально валиден - ни в раз не тривиальная задача. И даже если парсер в энном случае даже и окажется не лох, готов ли его caller потом схарчить вот именно то что реально в провод пульнули - это тоже сильно отдельный вопрос.

Ответить | Правка | Наверх | Cообщить модератору

94. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 20:29 
>И оно вот так не портабельно без принятия специальных мер.

Это которые ntohs/htons? Специальные меры, my ass.

Впрочем, в лиспе и смоллтоке как раз не memcpy на mmap.

Ответить | Правка | Наверх | Cообщить модератору

103. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от Аноним (103), 16-Сен-22, 11:20 
> Плохого? Ну, например, endianess у систем бывает разный. И оно вот так не портабельно без принятия специальных мер.

На правах адвоката дьявола спрошу, "специальная мера" - это банальное указание Byte Order Mark?
В случае несовпадения архитектуры предполагается что нужно сериализовать/десериализовать содержимое.
Но это я так... я в курсе, что лучше так не делать и что проблемы с портируемостью были получены на пустом месте.

И про JSON я с вами согласен полностью, но только вы немного не там увидели проблему...
Видите ли, главная проблема JSON не в том, что его поддерживает "полтора браузера", а в том, что для того чтобы его распарсить, вам нужно его сначала целиком десериализовать!!! Если у меня есть большой XML-документ с данными, какая-то выгрузка БД размеров в 100 ГБ, и мне нужно срочно найти и исправить в ней какие-то данные, то что мне делать? Правильно! Xpath/XSLT помогают мне найти нужные данные и построить иное представление документа. И вот чтобы такое провернуть с JSON вам нужно начала установить в свой ПК 100+ГБ памяти и полностью десериализовать набор данных. Следите еще чтобы ваш парсер умел работать с многосокетными конфигурациями и желательно понимал NUMA а то количество памяти, которое цепляется к одному сокету ограничено =)
Далее схема, которая в JSON отсутствует как класс. Она не обязательна и есть сторонние проекты которые её пытаются реализовать. Современные версии стандартов не содержат схему, поэтому вы должны либо знать что у вас в документе либо страдать. Вообще понятие трансформации потока сериализованных JSON-данных W3C в своих стандартах рекомендует делать... ВНЕЗАПНО через XML, почитайте современный стандарт XSLT.
Получается, если у меня есть поток объектов JSON, то для выборки и построения собственного потока (без привязки к реализации API приложения) я должен конвертануть, трансформировать и конвертануть обратно...
А потом люди спрашивают, почему REST умирает и вместо него все переходят на GraphQL

Ну и когда пишете всякие гадости про JSON не забывайте добавлять, что это JavaScript Object Notation. Код JavaScript (натурально текст программы) всегда может быть представлен как JSON, а JSON может быть трактован как код JavaScript. Таков этот язык. Парсинг JSON это парсинг кода на JS. В оригинале оно умеет сериализовать не только экземпляры, но и функции и выполнять их тоже. JSON полностью работает только в JS, а остальные языки лишь реализуют его подмножество. Причем каждый по-своему.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

13. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от ptr (??), 14-Сен-22, 19:29 
Про Protocol Buffers или Apache Avro ничего не слышали?
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

20. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от Аноним (4), 14-Сен-22, 19:44 
> Про Protocol Buffers или Apache Avro ничего не слышали?

А быстрее, или, там, компактнее, всё равно не будет, только осложнит отладку. Ровно никаких преимуществ. Может быть, 5% экономии. Вообще  не интересно, пусть используют там, где объёмы передачи заставляют экономить каждый байт. Когда задействуется сжатие, опять же, возможны различные варианты, и, если формат передачи не заботится об эффективных сжатии и дедупликации  (что вообще-то дорого и сразу не универсально), то жсон -- один из лучших кандидатов.

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск Samba 4.17.0"  –1 +/
Сообщение от ptr (??), 14-Сен-22, 20:02 
Вообще-то в Kafka у нас переход с JSON на Protocol Buffers дал экономию места в партициях в 5 раз, а не на 5% процентов. А скорость обработки топиков пописчиками, которым нужно всего несколько полей из нескольких сотен (это обычно, при обработке, например, ж/д накладных, ГУ-12 или даже дислокаций вагонов), возросла в несколько десятков раз.
Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (4), 14-Сен-22, 20:09 
Ну хорошо, где-то это может оправдано. Часто смысла нет. Вот как тут, что даст вывод smbstatus в бинарном формате?
Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (30), 15-Сен-22, 01:07 
Сейчас бы сравнить текстовый формат и бинарный. Тогда уж с BJSON сравнивайте.
А из человекочитаемых на мой взгляд лучший Tree https://habr.com/ru/post/248147/, жаль поддерживается примерно нигде.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

39. "Выпуск Samba 4.17.0"  +/
Сообщение от Staxemail (ok), 15-Сен-22, 08:26 
Дело не в текстовом и бинарном, bjson так-то не даст особого выигрыша. Они сэкономили за счет внедрения жесткой схемы. Так-то надо постараться было додуматься передавать данные, которые можно описать схемой в формате без схемы типа json - оверхед дикий, конечно. А вот если бы у них реально без схемы динамические данные шли, фиг бы их в формат со схемой получилось преобразовать...
Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск Samba 4.17.0"  +/
Сообщение от ptr (??), 15-Сен-22, 11:59 
А при чем тут BJSON? Его все равно целиком парсить нужно, даже если нужны всего несколько полей из нескольких сотен. Когда необходимо парсить на нескольких десятках подписчиков Kafka от сотни мегабайт до гигабайта каждый час, разницу сразу почувствуете.
Не путайте сериализацию, оптимизированную только для передачи и хранения данных, с сериализацией, оптимизированную еще и для выборочного извлечения нужных полей.
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

36. "Выпуск Samba 4.17.0"  +3 +/
Сообщение от Брат Анон (ok), 15-Сен-22, 07:45 
Так вот почему поезда опаздывать стали... А я то гадаю... Время на отладку выросло.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

46. "Выпуск Samba 4.17.0"  +/
Сообщение от ptr (??), 15-Сен-22, 09:27 
Неудачный троллинг. Просто продемонстрировали свое невежество, так как ГУ-12 и накладные никакого отношения к пассажирским перевозкам не имеют.
Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 09:30 
Какого троллинга Вы ждали от регистранта, мимикрирующего род анонима?
Испанский стыд, да и только!
Ответить | Правка | Наверх | Cообщить модератору

67. "Выпуск Samba 4.17.0"  +/
Сообщение от Брат Анон (ok), 15-Сен-22, 13:04 
> Неудачный троллинг. Просто продемонстрировали свое невежество, так как ГУ-12 и накладные
> никакого отношения к пассажирским перевозкам не имеют.

Я 3 года отработал инженером по автоматизации в ВЧД-2 КЛГЖД. И с АРМом диспетчера вагонного депо секс имел, и с установкой испытаний поперечных балок, и с установкой по сортировке пружин грузовых вагонов. Так мне вы можете не объяснять, что такое ГУ-12.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

70. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 13:14 
Какая система диспетчерской централизации у Вас была, что секас имели.
Ответить | Правка | Наверх | Cообщить модератору

87. "Выпуск Samba 4.17.0"  +/
Сообщение от Брат Анон (ok), 15-Сен-22, 17:13 
> Какая система диспетчерской централизации у Вас была, что секас имели.

АРМ диспетчера отправлял справки на печать через КОМ-порт. По программе модернизации поставили ВинХП и новый ящик. А АРМ остался прежним. Он был настолько древним, что даже в контекстное меню не умеет. Задача: распечатать за 12 часов 4 ТЫСЯЧИ справок по деповскому ремонту.

Ответить | Правка | Наверх | Cообщить модератору

89. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 17:38 
Видимо мы о разных диспетчерах.
Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск Samba 4.17.0"  +/
Сообщение от ptr (??), 15-Сен-22, 13:30 
И какая же связь между пассажирским сообщением, вагонным депо, ЭТРАН и ГУ-12? )))
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

88. "Выпуск Samba 4.17.0"  +2 +/
Сообщение от Брат Анон (ok), 15-Сен-22, 17:20 
> И какая же связь между пассажирским сообщением, вагонным депо, ЭТРАН и ГУ-12?
> )))

Между пассажирскими сообщения и грузовым вагонным депо -- ничего общего. А между справкой по последнему деповскому ремонту и пробегом в тонно*километрах -- есть. Но самая главная связь -- это АРМ диспетчера для Вин98, принтером через КОМ-порт, шнурок до управы на весь ЖД узел 128 кб/сек. и фактической ВинХП на ПК диспетчера. Напечатать непечатаемое, передать непередаваемое.

Ответить | Правка | Наверх | Cообщить модератору

98. "Выпуск Samba 4.17.0"  –2 +/
Сообщение от ptr (??), 15-Сен-22, 22:33 
То есть Вы все же признаете, что написали чушь про "опоздание поездов" в применении к обработке данных из ЭТРАН со стороны оператора вагонного парка? )))
Или Вы не в курсе, что грузовые поезда по расписанию не ходят? А порожняк так вообще могут на несколько месяцев бросить. Целиком состав - 71 полувагон в одном тупике.
Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск Samba 4.17.0"  –1 +/
Сообщение от Аноним (72), 15-Сен-22, 14:03 
Есть такая штука, называется S-выражения. Так вот, у неё есть и бинарная репрезентация.

А всё остальное - оверинжиниринг чистой воды.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

9. "Выпуск Samba 4.17.0"  –2 +/
Сообщение от JackONeillemail (?), 14-Сен-22, 19:20 
За всех людей говорите?) А машинам вообще по боку.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

47. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 09:29 
Настолько побоку что OSM planet в XML весит под 300 гигз и пока его распарсишь на горе может свистнуть рак, в то время как в protobuf оно весит ~35 гигз и из этого можно рандомные куски выковыривать с весьма облегченным парсингом остального, так что не обязательно всю эту чушку в память целиком для приличной скорости грузить.

В JSON оно не сильно лучше было бы. С теми же траблами что и XML. А читать json и xml удовольствие для инопланетян каких-то. Потому что довольно много лишнего, да и форматирование удобное человеку в проводе очень уж неэффективно. Так что оказывается что редактор еще и не любой, а тот который может reflow этой простынке, все такое...

Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск Samba 4.17.0"  +3 +/
Сообщение от анонимус (??), 14-Сен-22, 19:39 
Если данные имеют древовидную природу, типа структур каталогов - то трудно его описать лучше чем в JSON. Да, он тоже с изъянами (без комментов и не допускает завершающую запятую) но он сильно читаемее XML и поддерживается везде
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

31. "Выпуск Samba 4.17.0"  –3 +/
Сообщение от Аноним (30), 15-Сен-22, 01:11 
YAML? Tree? Словарь в почти любом языке программирования?
С комментами всегда проблема - если они нужны, то они становятся данными (но почему-то все хотят их отдельно обрабатывать от остальных данных), а если не нужны, то и не нужно их поддерживать. Json эту проблему элегантно обходит, так что это достоинство.
Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от Брат Анон (ok), 15-Сен-22, 07:43 
Правильно! Так их!
Гноби кожаные мешки! СЖСовсем расслабились!))
Кстати, как у тебя дела, ГПТ-2?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

68. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от _kp (ok), 15-Сен-22, 13:08 
Json - не для чтения/правки человеком, хотя это возможно, и удобнее чем xml, а для взаимодействия с другим ПО.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Выпуск Samba 4.17.0"  +/
Сообщение от achtosluchilos (ok), 14-Сен-22, 19:13 
Вот вот. Я давно об этом писал, что нужен единый формат вывода сообщений консольных утилит, который 1. не будет меняться от балды, а если и будет, то с возможностью выбора версии выхлопа (да и такое нужно), 2. будет легко парсить и экранирования тоже. Например, достаточно посмотреть на тот позор, который вытворяет утилита tar и попробовать как-то парсить (так чтобы учитывать все возможные пути файла внутри архива).
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

11. "Выпуск Samba 4.17.0"  +2 +/
Сообщение от Аноним (11), 14-Сен-22, 19:26 
Угу, вон уже сделали единый формат переносимых приложений и единый формат пакетов для дистрибуции приложений... Oh, wait...
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск Samba 4.17.0"  –2 +/
Сообщение от Michael Shigorinemail (ok), 14-Сен-22, 19:30 
Вавилон Вавилоныч Вавилонов, однако... да и причины всё те же.
Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от Аноним (30), 15-Сен-22, 01:15 
Неоднократно уже делали и в мастдае в повершиле и в васянских подделках под линухом. Ничего из этих структурированных попыток не взлетело. Потому что не нужно: в частности можно итак --json внедрить, а в целом текстовый формат горааааздо универсальнее.
Другой вопрос что традиционно популярным bash/ls/ps пора бы уйти то ли совсем на покой, то ли в ниши вроде микроконтроллеров.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

91. "Выпуск Samba 4.17.0"  +/
Сообщение от мелкософта (?), 15-Сен-22, 17:42 
И ты такой нам альтернативы выкатил для ls/ps? Аххх ну да.
Ответить | Правка | Наверх | Cообщить модератору

95. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от Аноним (-), 15-Сен-22, 20:42 
>Другой вопрос что традиционно популярным bash/ls/ps пора бы уйти то ли совсем на покой, то ли в ниши вроде микроконтроллеров.

Спасибо, поржал. Недавно с винды?

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

127. "Выпуск Samba 4.17.0"  +/
Сообщение от aname (?), 20-Сен-22, 12:30 
Ну, как там с предложениями в RFC?
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

16. "Выпуск Samba 4.17.0"  +7 +/
Сообщение от Максим (??), 14-Сен-22, 19:39 
Хорошо, что хоть не упоротый xml...
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

17. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от FreeStyler (ok), 14-Сен-22, 19:39 
Чем неугодил?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

28. "Выпуск Samba 4.17.0"  +2 +/
Сообщение от YetAnotherOnanym (ok), 14-Сен-22, 22:47 
Печаль по поводу json можно было бы понять, если бы для работы с ним не было софта или он был бы проприетарным/платным/неудовлетворительным/etc. Но для json либ и утилит - хоть дупой жри. В чём проблема вообще?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

33. "Выпуск Samba 4.17.0"  –1 +/
Сообщение от Аноним (30), 15-Сен-22, 01:17 
А есть адекватные утилиты? jq не адекватная
Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск Samba 4.17.0"  +/
Сообщение от Анонус (?), 15-Сен-22, 11:54 
https://habr.com/ru/post/347808/
Ответить | Правка | Наверх | Cообщить модератору

92. "Выпуск Samba 4.17.0"  +/
Сообщение от мелкософта (?), 15-Сен-22, 17:44 
Утилита на js, спасибо, на серверах бесполезное уг твоя утилита. Сидим дальше на jq
Ответить | Правка | Наверх | Cообщить модератору

96. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 20:48 
>В чём проблема вообще?

Проблема в том, что:
Пишите программы, которые делают одну вещь и делают это хорошо
Пишите программы, которые работают друг с другом
Пишите программы, которые используют текстовые потоки, потому что это универсальный интерфейс.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

97. "Выпуск Samba 4.17.0"  +/
Сообщение от InuYasha (??), 15-Сен-22, 21:15 
не идеально (это к разработчикам json), но хорошо что не YAML.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

5. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 14-Сен-22, 19:00 
В общем так посоны, когда будете ад переводить на вражью фриипу, ставьте сперва пдц на самбе. Синхронизируйте базы а уже потом фриипу. Ипа не умеет брать из ада учетки и прочие радости.
Все это тот еще головняк, но все как Штульман завещал!
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск Samba 4.17.0"  –4 +/
Сообщение от Michael Shigorinemail (ok), 14-Сен-22, 19:28 
> В общем так посоны, когда будете ад переводить на вражью фриипу

В некоторых дистрибутивах доступны/поддерживаются и freeipa, и samba: http://basealt.ru/domain -- вовсе не обязательно себя до такого доводить.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск Samba 4.17.0"  –2 +/
Сообщение от Аноним (-), 14-Сен-22, 19:55 
Скажите пожалуйста, а как мне при развертывании альт линукса в среде актив директори синхронизировать базу с фриипа? (Вытащить хотя бы учетки с паролями, про гпо молчу).

Зы. В данном контексте фриипа вражья, потому что ред хат.

Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск Samba 4.17.0"  +2 +/
Сообщение от Брат Анон (ok), 15-Сен-22, 07:49 
Это просто какой-то позор..

Просто не пользуйся самбой. На ней свет клином не сошёлся.

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 08:51 
Это не просто позор.

А чем пользоваться? На чем свет клином сошелся?
На алтераторе?

Ответить | Правка | Наверх | Cообщить модератору

66. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от Брат Анон (ok), 15-Сен-22, 13:01 
> Это не просто позор.
> А чем пользоваться? На чем свет клином сошелся?
> На алтераторе?

Ни на чём не сошёлся. Ростер тебе в помощь.

Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 13:11 
Это чтоб кофе в зернах обжаривать?

Мне надо 10 тыс раб мест перевести на линукс.
Сейчас есть соотв вин инфраструктура, ад и проч.

Как мне используя альтлинукс перевести адовые креденшалсы в фриипу, без промежуточной миграции через самба дц?

Вот Михаэль Шигорин сказал можно, но пропал. Может Вы расскажите?

Оставить ад для линуксовых раб станций не предлагайте плиз.

Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск Samba 4.17.0"  +/
Сообщение от andy (??), 15-Сен-22, 16:15 
> Как мне используя альтлинукс перевести адовые креденшалсы в фриипу, без промежуточной миграции через самба дц?

У FreeIPA есть синхронизация с AD, в чем проблема-то?

Ответить | Правка | Наверх | Cообщить модератору

85. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 17:04 
Проблема в том, что Вы не соблаговолили изучить документацию, что понять как там все реализовано.

Думал вот что может в альтлинукс все переписали и сделали "без этих мучений".

Но что-то ярчайший представитель команды альт молчит.

Ответить | Правка | Наверх | Cообщить модератору

86. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (86), 15-Сен-22, 17:13 
Для пацанов бфла написана схема внедрения:

Имеющийся ад-->ставим пдс самба-->ставим фриипа-->ад выбрасываем. Пдц самба оставляем
А)для хранения старой базы
Б) для возможных виндавс гостей

Шигорин ворвался и сказал, что в альтах все проще и без мучений.
Ответ бы получить!

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

105. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (105), 16-Сен-22, 13:43 
Где есть, что есть, как есть?
Эта синхронизация оаботает до тех пор, пока есть сервер ад. Так?
Ну тогда о чем речь...
Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

104. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (103), 16-Сен-22, 12:10 
> Мне надо 10 тыс раб мест перевести на линукс.

Альт или не альт тут не имеет значение. Проблема в том, что сама задача поставлена как-то истерически.

Если у вас есть Windows-инфраструктура таких объемов то нет никакого "мастера" по конвертации вы нигде не найдёте правильного и простого решения. Вам придётся иметь дело с убогостью целого ряда вещей в мире Linux, в частности отвратительной поддержкой Kerberos на стороне ОС с одной стороны и кучей странных Windows-специфичных решений, которые тянет Microsoft чисто исторически.

Исходя из того что вам нужно перевести 10000 юзеров не прерывая работу всей компании, то синхронизация паролей - это последнее о чем нужно беспокоиться. Вам нужно понять какие атрибуты вам вообще нужны, а пароль пользователю и поменять можно. Вы там выше по тексту решили "не говорить" о GPO, а именно с них всё и начинается. Вам нужна собственная централизированная система работы с конфигурацией etcd, ansible, git причем самое отвратительное то, что вам при помощи этих инструментов нужно получить Desired State на рабочих станциях, а инструменты эти мягко говоря не рассчитаны на то чтобы устранить дрифт. Пишите скрипты.

Если FreeIPA - это конечная цель, то вам нужно её поставить и сделать двунаправленную федерацию Kerberos между ними при этом внимательно слелите за техническими ограничениями SSSD. Поддержка Kerberos в Linux настолько ужасна, что большая часть инфраструктурных продуктов не поддерживает банальную федерацию.

Вам на первом этапе нужно добиться чтобы:
1. Windows-сервисы приняли учетные данные из FreeIPA (Windows справится он федерируется хоть с голым MIT Kerberos)
2. Вам хватило атрибутов в каталоге FreeIPA, думайте что вы будете использовать для работы
3. У вас заработала выстроенная вами с соплей и палок система конфигурирования рабочих станций

Далее переводите рабочие станции согласно географии/штатному расписанию вместе с пользователями:
1. Осознайте политики и переделайте их в скрипты
2. Протестируйте работу компьютера пользователя
3. Заводите новых пользователей в новый домен FreeIPA

В этом случае у вас будет получаться так, что Windows-сервисы, которые вы еще не поменяли будут корректно отрабатывать в рамках Kerberos-федерации, а Linux-сервисы (FreeIPA-SSSD) ну они только для Linux, потому что бомжи не способны в Kerberos. Я конечно же предполагаю, что у вас там Windows тоже развернут так, что вы не полагаетесь на CredSSP/NTLM и прочую муть с конвертацией протоколов при делегировании. Если нет, то исправляйте.

Вообще не так страшен Linux, как печать на нём =)
Я почему вам предлагаю плавный переход с по отделам за длительное время... вам же железо менять. Если вы думаете, что все те принтеры, которые вы использовали будут продолжать печатать так как они печатали на Windows... и что буквально за пару дней все начнут работать в тех же программах где работали раньше, то вас ждёт факап уровня генштаба.
Windows Spooler - это чисто клиентская печать с возможностью выноса генерирования страниц на сервер EasyPrint, а в Linux у вас CUPS (всегда серверная печать) с драйверами разной степени качества. Они не похожи друг на друга. И вот если вы собрались переводить на Linux рабочие станции, которые подключаются к Microsoft RDS терминалу, с локальными принтером в отделе, печать на который заворачивалась через роль изипринт, но подключен по по USB-шнурку, вам надо очень вдумчиво сделать серверное развертывание CUPS и при этом озадачиться покупкой новых принтеров туда, где CUPS работает не удовлетворительно. Просто я ни в жизнь не поверю, что на 10000 человек у вас только сетевые и только самодостаточные принтеры.

Думаю, если начнете сейчас, то годика за 2 управитесь. Не понятно только, нахрена попу гармонь.

Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

111. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 16-Сен-22, 14:20 
Мой ответы потерли.
Ну чтож, ожидаемо.
Ну да ничего, не долго ждать.
Успехов!
Ответить | Правка | Наверх | Cообщить модератору

112. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (103), 16-Сен-22, 16:58 
Задача действительно истерически поставлена, раз бот трёт комментарии, но их все равно видно в логе модерирования. И вот лучше было жевать чем говорить...

Комментарии Шигорина не имеют значения по большей части, если вам нужно решать реальные задачи. Их можно смело игнорировать потому что проку от них вам 0, не понятно что вы от него ожидаете... признания, раскаяния, внимания... но зачем... =(

> который ручками в фриипу будет забивать 10к юзеров? Шик!

Именно так, всё верно. Это Linux и не сильно важно какой там дистрибутив. Вы либо будете скриптики костылять, либо ручками баловаться, либо наймете человека, который будет это делать за вас.

> Да, решил. Или как моим раб станциям на линукс допоможе гпо?

И зря, потому что GPO и MDM-политики несут определенный смысл. Если они связаны с конфигурированием Windows-специфичных параметров то ясное дело, что они вам не нужны. Если вы их писали ради конфигурации политик безопасности, то вам нужно адаптировать применяемую политику к другой ОС и еще дописать своих. Скрипты/плей-буки в ансибле вам заменят большую часть функционала GPO. На это готовьте еще 2-3 штатные единицы чисто под это, особенно с учетом того что у вас никто не знает Linux.

> Плавно надо было начинать лет 8 назад.

Нет не надо. Ни тогда, ни сейчас, ни до тех пор, пока оно не станет нормально работать. Никакие приказы начальства и никакая политическая обстановка не меняет объективную реальность. Оно не готово для таких объемов. Оно терпимо на маленьких объемах и на суперкрупных, когда люди пилят свой внутрикорпоративный дистрибутив на базе Linux. Вы можете просто в этом не участвовать и уйти, предварительно поставив всё это вышестоящему начальству, чтобы страдало. А то те кто принимают такие решения никогда этим не пользуются.

Просто пришла пора принимать ответственные решения самостоятельно. А то гос или не гос, но привыкли как? Нас всех гонят на Linux? На охоту идти - собак кормить? Вместо того чтобы решать вопросы вы бежите искать себе крайнего Шигорина. Просто не делайте этого и всего и всё.

Подытожим: Если вам свербит переходить на Linux - переходите. Целенаправленно, вдумчиво и полагаясь только на себя и на свой опыт. Если вы отказываетесь и у вас там ничего не работает - не переходите. Саботируйте, протестуйте, увольняйтесь, воруйте трофейную венду... А Шигорина оставьте, пожалуйста, в покое, и не обижайте его. Он в нашей милой кунсткамере главный развлекательный элемент =)

Ответить | Правка | Наверх | Cообщить модератору

113. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 16-Сен-22, 17:25 
Я позволю себе начать с итога.
Странные Вы люди. Я пришел и дал в трех строчках рецепт, как это работает.
Соответсвенно логично предположить, что я уже все это прошел. Причем не один раз.

Да, я ожидаю от людей признания своих ошибок. Это нормально. Разве нет?

>Если вы их писали ради конфигурации политик безопасности, то вам нужно адаптировать применяемую политику к другой ОС

Совершенно верно. Только гпо в фриипа совершенно ничем не помогут. Все это анализируется и рефакторится с учетом специфики линукс систем.

>Никакие приказы начальства и никакая политическая обстановка не меняет объективную реальность.

А в чем Вы видите обьективную реальность? В сидении на ломаной венде без апдейтов? Ну извините, я лет 30 назад в пору эникейства насмотрелся на эти реалии.

Сейчас же в моиз реалиях то, что по целой партии делл востро на 11 вин прилетел апдейтик, который зашифровал диски битлокером.

>Вы можете просто в этом не участвовать и уйти, предварительно поставив всё это вышестоящему начальству, чтобы страдало.

Дык все толковые люди так и поступили. Точнее даже не так, они просто из страны уехали.
Остались вот приспособоленцы/функционеры, которые только умеют философствовать и проваливать любые начинания, боясь взять за них ответственность. Главное вовремя вышестоящим ведь поцеловать нужное место. А дальше, хоть трава не рости.
Знакомо?

>Вместо того чтобы решать вопросы вы бежите искать себе крайнего Шигорина. Просто не делайте этого и всего и всё.

Вы с самого начала неверное целеполагание истолковали. Ну да ладно. Время, всему свое время.

Зы. Если  вдруг не дойдет до давно назревших процессов, жизнь штука динамично меняющаяся, от себя могу сказать, что благодаря подходу к делу вашей, как Вы выразились "кунсткамеры", манере общения Шигорина, а также компетенций лично я всегда буду саботировать покупку вашего, с позволения сказать "продукта". Везде и на всех уровнях, куда смогу дотянуться.


>вот лучше было жевать чем говорить...

Приятного аппетита.

Ответить | Правка | Наверх | Cообщить модератору

114. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (103), 16-Сен-22, 22:36 
> Да, я ожидаю от людей признания своих ошибок. Это нормально. Разве нет?

Нет не нормально, не тут и не от Linux сообщества. Уважаемый, эти люди годами мусолят на конференциях под названием "что я ненавижу в Linux" одни и те же ошибки, упущения, архитектурные проблемы и недочёты вместо того чтобы их исправлять. Импортозамещенные "продукты" же вовсе не продукты, а перепаковка того же самого апстрима с теми же самыми техническими ограничениями, которые никто не хочет устранять. Одно только перекладывает ответственности с одного на другое. Вы хотите признания ошибок? С тем же успехом можно писать в спортлото.

> А в чем Вы видите обьективную реальность?

Объективная реальность в том, Linux не является продуктом, который можно купить и внедрить. Это секта энтузиастов вокруг бизнеса IBM/Red Hat и немножко Google, когда это касается мобильников. Когда 80% кода в апстриме создаётся, меинтейнится и контролируется одной компанией через подставные псевдонезависимые НКО вы либо требуете с нее что-то в рамках договора, либо нет. Все остальные сборщики сборок, рассказывающие сказки про сообщество и прочий комминтерн, - лжецы, которые никогда не выпрыгнут за рамки того что планирует и внедряет IBM/Red Hat.

Linux использует монетизацию в счёт сопровождения. Это создаёт конфликт интересов: если при такой монетизации сделать продукт который сам просто работает, то тогда его станет не возможно продавать. А учитывая, что коммерческое сопровождение у Red Hat вы не купите, то всё остальное просто не имеет значение.

> лично я всегда буду саботировать покупку вашего, с позволения сказать "продукта"

Я вам это изначально и предложил. Хорошо, что мы друг друга поняли. Моя реальность такова, что венда установленная "в рамках закона о параллельном импорте", подписанным президентом, но со включенными обновлениями работает лучше чем продукты жизнедеятельности всяких импортозамещунов.

> Сейчас же в моиз реалиях то, что по целой партии делл востро на 11 вин прилетел апдейтик, который зашифровал диски битлокером.

А вот это интересно... мне кажется в одном из тредов то ли вы (или кто-то другой) что-то подобное упоминали. Как давний владелец техники Dell могу сказать вам несколько вещей:

Любая OEM-версия ОС предустановленная Dell содержит бекдоры!
Их предустановленный софт вроде SupportAssist и прочий мусор - глючное поделие, которое постоянно ломается собственными обновлениями. Простое удаление этого софта вас не спасает, потому что они понаставили вам туда сертификатов, понаоткрывали портов, отключили проверку цифровых подписей, понаставили сертификатов в доверенные лица для удаленного управления вашим компьютером и включили и настроили корпоративную версию Intel ME так, что ваш компьютер - публичная библиотека. Обновления Windows тут не при чем. Я даже не берусь обвинить Dell в умышленном саботаже. У них там наитупейшие погромисты, которые софт писать не могут, не то что кого-то взломать и намеренно пошифровать. И вот чтобы оказывать услуги техподдержки они делают бекдоры, которые как известно работают для всех, а не только для авторов.

В период с 2020 - 2022 год было найдено 2 критические уязвимости в ПО Dell для Windows предоставляющий полный удалённый контроль за теми рабочими станциями, которые не переставили OEM-Windows на чистую. Второе обновление не попало в РФ в виду того, что эти кретины заблокировали доступы к критическим обновлениям собственного софта.

Dell создаёт групповые политики и следит агентами, чтобы эти политики ни в коем случае не слетели несмотря на наличие доменных, если стоит их убогое ПО. Кроме тех политик, которые понижают безопасность, включают NTLM есть еще много слабозадокументированных ключей в реестре касательно аутентификации и авторизации. Но главное - обновления. Dell насильно выключает вам обновление драйверов от MS и всего прочего вендор-специфичного ПО. Все их приложения, даже те которые в Store - это заглушки, докачивающие сами себя. А все обновления всех драйверов отключаются так, чтобы вам прилетели только Dell-сборки драйверов с их подписями и сертификатами.

В 2020-ом году начиная по март 2022 обновления, исправляющие критические уязвимости окирпичили огромное количество устройств Dell по всему миру ввиду того, что их служба резервного копирования и восстановления не могла корректно обновиться на новую мажорную версию (Dell SupportAssist Remediation Service). На обычном компе можно было просто вычистить это всё, а ноутбуки с предустановленным шифрованием и TPM... Есть куча техники где Dell предустанавливает Bitlocker ради якобы безопасности... ха-ха. Это обновление делает 3 вещи. Перешивает свой кусок в UEFI, обновляет службу Windows и переразмечает иначе диск cmd-скриптами, потому что новая версия не влезала в тот объем, которые они выделяли под Recovery заранее. Вот тут-то оно и фейлилось.

Я не могу знать что конкретно случилось с вашей партией Vostro, но исходя из опыта работы с техникой Dell, я предположу что с ними случилась именно безалаберность Dell, которые наделали предустановленных бекдоров,  и попытались криво всё пофиксить, а теперь и вовсе отказались слать патчи к своему барахлу, заблокировав сайты и сервисы. Смешно, но от этого их технике стало лучше.

Вот пример статьи по решению этих проблем: https://bit.ly/3DuHTN2
Датируется она как раз 2020-м годом (это видно в кеше гугла). Можно сколько угодно обвинять MS во всех смертных грехах, что обычно и делают линуксоиды-фанатики, но только не в этом случае. У вас полный Dell.
И MS никого не лишает обновлений и не требует лицензий сейчас. Вот вам опенсорцный KMS-сервер прямо с гитхаба:
- https://github.com/Wind4/vlmcsd угощайтесь, на С и очень кроссплатформенный, но нужно самостоятельно обновить базу SKU под современные версии
- https://github.com/Py-KMS-Organization/py-kms - если вам не нравится на С, то вот вам реализация на питоне для ленивых.

P.S. Если вы думаете что в Ubuntu от Dell бекдоров, глюков и проблем с шифрованием дисков меньше, то вы ошибаетесь.

Ответить | Правка | Наверх | Cообщить модератору

117. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 17-Сен-22, 01:57 
Благодарю за потраченное аремя и развернутый ответ.

>Нет не нормально, не тут и не от Linux сообщества

Простите великодушно,  но если мне указывают на мою ошибку здесь, я всегда это признаю. И еще и благодарю за то, что исправили, потому что я пополнил свой багаж знаний. И нет совершенно никакой разницы кто на нее указал. Это нормально.
А в данной ситуации что получилось? Допустим тот кто писал тезис о миграции, только изучал вопрос. Пришел Шигорин и заявил: покупай наше, проблем не будет. Человек не имеющий технический багаж знаний на это бы повелся. А когда пришел черед внедрения, внезапно Вы выступили бы с тем самым текстом о том, что волшебных визардов нет?
Такая модель получается?
Или в интернете можно как угодно, а на ковре у заказчика мы оближем как надо?

Про не тут и не там - это из раздела сублимации личности. Если Вы достойный человек, Вы будете вести себя одинаково везде. А коли с червоточинкой, то и зеркало нечего винить.

Линукс сообщество? Простите а вся ваша команда какое отношение к линукс сообществу имеет? В рамках работ команды базальта есть патчи ядра? Вот прямо такие, которое в оплаченное время были выполнены. Сообщество.

>Импортозамещенные "продукты" же вовсе не продукты, а перепаковка того же самого апстрима с теми же самыми техническими ограничениями, которые никто не хочет устранять. Одно только перекладывает ответственности с одного на другое

Вот здесь согласен. Все так и есть. Только о каком уважении может идти речь при этих раскладах? И ведь у нас во всех сферах так. Куда не посмотрите, одно и тоже. И ведь многие технические аспекты выливаются сейчас кровью наших ребят. А всем как всегда...

Про саппорт все так. Я правда никогда в жизни им не пользовался. За что в бытность одминства получил как-то даже бонус от вендора за это. Как-то интересно было самому решать вопросы всегда. А обращаться за помощью стыдно. Что я мол сам не разберусь.

Теперь про реальность и венду. Извините что не вставляю цитаты, но мне большой обьем постить не дают.
По моим данным, идет подготовка к тому, что обновлений в РФ не будет с 23 года. 1 квартал. Как оно выйдет в итоге неизвестно, политика переменчива, но тем не менее.

Про делл упоминал я. Только в том упоминании шла речь о 3 физиках. Про дела ынтепрайзу я там не писал. Так же пользую делл около 25 лет в широких масштабах. Про бекдоры знаю. К слову они есть и у леново. И у хп.

Благодарю опять же за ликбез. (Не сарказм). Было интересно. Уверен, что людям будет тоже интересно.
Вместе с тем, я об этих проблемах знаю и заблоговременно, на этапе развертывания был предпринят весь комплекс необходимых мероприятий по максимальной травле блох. Эти мероприятия известны, так как данная техника давно поставляется в разные структуры и проблемы эти существуют с 90х годов. Просто тогда это было не уэфи/тпм/всмт.

>Можно сколько угодно обвинять MS во всех смертных грехах, что обычно и делают линуксоиды-фанатики
>P.S. Если вы думаете что в Ubuntu от Dell бекдоров, глюков и проблем с шифрованием дисков меньше, то вы ошибаетесь.

Лол, давно меня, старого бсд'уна линукс фанатиком не называли.
Смотря каких бекдоров. В силу лени погроммистов делла, большая часть подарков работает средства шиндавс. Потому от какого-то числа бубунта таки поможет.
А от остального поможет комплекс мероприятий.

Мне нет нужды обвинять кого-то в смертных грехах. Билл Гейтс абсолютно открыто сам говорит о планах для человечества в целом. Всем как всегда... Кушаем, колемся, вкушаем кактус. Это же где-то далеко...меня не коснется, хата с краю...
А меж тем зонды 11 так хороши. Уже и до управления глазами дошли. Никто д не задумывается что оно делает еще. Ну это лирика.

Корячить свои сервера, затем отслеживать и деплоить обновления, чтобы продолжать кормить информаций врага? Который еще и за оплаченные деньги краник перекрыл. Ну надо ж и достоинство иметь в конце то концов. Но сейчас я по парням вижу  как девчонки их гуляют налево/направо, а они высунув языки за ними бегают  да еще и прощения просят. Мда. Вот такая аналогия. Нет. Не мое.

Ну а собственного не создали, как уже выше обсудили. Покрасноглаzим на старосте лет. Тем более ирл у меня есть такие деплои. Повторюсь, у комерсов проблем нет. У гос да, бывают. Но, дорогу осилит идущий.

Ответить | Правка | Наверх | Cообщить модератору

118. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (118), 17-Сен-22, 02:06 
Имел в виду не патчи ядра, а коммиты конечно же. За ояепятки вида "заблоговременно" приношу извинения. Спать пора. Видимо набросов было уже слишком много за день.
Ответить | Правка | Наверх | Cообщить модератору

93. "Выпуск Samba 4.17.0"  +/
Сообщение от мелкософта (?), 15-Сен-22, 17:52 
А где сырцы глянуть?
Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

43. "Выпуск Samba 4.17.0"  +/
Сообщение от pofigist (?), 15-Сен-22, 08:54 
А что FreeIPA уже умеет OU? Ах нет... Ну извините...
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

44. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 09:12 
Я Вас извиняю.
Вопрос задавал исходя из своих ФТ.
Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск Samba 4.17.0"  +3 +/
Сообщение от ВыньОпух (ok), 15-Сен-22, 11:10 
> А что FreeIPA уже умеет OU? Ах нет... Ну извините...

ОргЮниты те же самые группы, вынесенные в отдельную сущность, усложняющий поиск объекта, то есть костыль, тормозящий работу. Не зря от нее отказались почти все разработчики служб каталогов.

уже при количестве записей в домене под сотню конструкция вида
-b cn=users,dc=example,dc=com (cn=someuser)
работает быстрее, чем.
-b dc=example,dc=com (&(oblectclass=person)(cn=someuser))

Потом с костылями помучаешься, когда в разных оушках нужно на определенные группы пользователей применять одни и те же политики. Вместо того, чтобы применить политику на группу, нужно в каждой аушке создавать свою группу, на которую вешать политику.

Хотите FreeIPA с OU, берите ALDPro. Или сами расширяйте схему до OU.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

77. "Выпуск Samba 4.17.0"  +/
Сообщение от pofigist (?), 15-Сен-22, 16:44 
> ОргЮниты те же самые группы

Нет. И то что ты этого не понимаешь - 100% признак твоей профнепригодности для работы с чем-то сложней чем твоя домашняя сеточка.

Ответить | Правка | Наверх | Cообщить модератору

101. "Выпуск Samba 4.17.0"  +/
Сообщение от EULA (?), 16-Сен-22, 06:00 
Твоя профпригодность всяко ниже его. Он-то обосновал почему твои любимые оу глупость. У тебя в обосновании истерика.

Давай я тебе еще больно сделаю с оу?
Имеем домен MS AD на 5-ти серверах HP с xeon e5 2689 v4, 64 ГБ ОЗУ, 8 SSD SAS Intel 240 ГБ, количество пользователей, включая отключенных, 1674, количество машин 1247, распихнутых в 4 организационные подразделения. Исторически сложилось, что там только домен крутится. Поиск атрибута mail для случайного пользователя ищется 3,476 секунды. Других сервисов, кроме AD там нет.
Имеем второй домен на FreeIPA на двух серверах DELL с Xeon L5320, 8 ГБ ОЗУ, и 4 HDD SATA Seagate 160 ГБ, с количеством пользователей 2433, количество машин 2100. Поиск атрибута mail для случайного пользователя ищется 0,628 секунды. Там еще и MySQL за каким-то хреном крутится.

Расскажи, зачем терпеть тормозные OU, если без них на древнем железе поиск работает быстрее? Только потому, что ты не осилил делегирование прав в FreeIPA? Или тебе тяму не хватило, разобраться как  политики на группу навесить? Или весь твой аргумент будет, что винда авторизоваться во FreeIPA не может?

И не надо рассказывать, что на HP-хах надо поднимать виртуализацию. Быстрее от этого поиск бы точно не заработал.

Ответить | Правка | Наверх | Cообщить модератору

106. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (103), 16-Сен-22, 13:45 
Так, а теперь давай поговорим про сервис-провайдера с 10 приложениями, которые предоставляются как сервис на 1500 организаций с переменным количеством пользователей от 2-200.

OU в этом случае выступает в роли хранилища конфигурации теннанта. Что твой пример, что пример ВыньОпуха, который использует OU не по назначению, не учитывает задач, которые держит и обеспечивает AD именно благодаря наличию OU.

Теперь давайте посмотрим на то что может предложить FreeIPA:
1. Установить 1501xN инстансов самой себя, где N - избыточность для отказоустойчивости
2. Переписать приложения так, чтобы авторизация и её разграничение работали относительно группы, и радостно игнорировали все остальные объекты, которые могут получить в рамках иерархии.
Я уже не говорю что в первом случае будет при контроле за Kerberos-доверием, когда речь идёт об объектов управляющего контура.

Люди которые пишут FreeIPA оторваны от реальности. Ориентируются на малый средний бизнес причем без поддержки поглощения одной компании другой. А между тем, некоторым людям нужен именно каталог с корректной структурой иерархии. То, что насовать атрибутов быстрее, чем делать полноценный каталог - это не аргумент.
Вся эта скорость (группы быстрее OU) обусловлена производительностью бекенда. Это 2 разные проблемы:
- техническая (LDAP поверх OLTP медленно работает с OU при поиске)
- гуманитарная (OU с возможностью делегирования необходимы как сущность каталога для внешнего управления авторизацией мультитеннантного приложения)
Наличие одной проблемы не отменяет другие задачи. Собственно именно из-за такого непонимания целей мы имеем засилие AD, которое можно ругать сколько угодно, но оно работает так как надо, а в FreeIPA никак не научится за 10 лет в OU. Видимо, надеются, что крупный провайдерский софт, который хочет OU и предполагает его наличие, предполагает вынос авторизации и собственных расширенных атрибутов в каталог вдруг ломанётся переписывать весь свой софт целиком ради поддержки FreeIPA и её специфических решений, где сами разработчики отказываются ставить в приоритет такую банальную задачу, а оголтелое сообщество кричит "не нужно, медленно" и прочий бред сивой кобылы в лунную ночь.

P.S. Атрибуты которые нужно быстро искать и выдавать не нужно хранить ни в базе, ни в каталоге, так никто не делает. Их выносят на отдельно стоящий кэш-кластер, структура которого специфична для приложения и движка поиска.

Ответить | Правка | Наверх | Cообщить модератору

122. "Выпуск Samba 4.17.0"  +/
Сообщение от pofigist (?), 17-Сен-22, 19:06 
> А между тем, некоторым людям нужен именно каталог с корректной структурой иерархии.

Задай человеку простой вопрос "Что является руководящим документом при создании структуры каталога пользователей?" Ни один поклонники фрипы пока что не смог ответить на него правильно. :)

Ответить | Правка | Наверх | Cообщить модератору

124. "Выпуск Samba 4.17.0"  +/
Сообщение от EULA (?), 19-Сен-22, 06:31 
> OU с возможностью делегирования необходимы как сущность каталога для внешнего управления

Делегирования на управление группами и атрибутами внутри них, атрибутами есть и в FreeIPA.

> а в FreeIPA никак не научится за 10 лет в OU

ALDPro использует расширение базы FreeIPA под OU, семилетней давности. Все семь лет патч не принимают в код.

> Видимо, надеются, что крупный провайдерский софт,

Куча крупного софта (Radius, WebAuth в Apache/NGINX и PHP), не работает с OU, и приходится писать костыли для работы с OU, которые или кэшируют пользователей, или при каждом вызове авторизации перебирают всех пользователей. И если в софте используется перебор или кэш с перебором (при отсутствии в кэше пользователя), то DDoS на КД можно организовать через Web-приложение, отправив за раз пару тысяч запросов на авторизацию с гарантированно некорректными именами пользователей. В общем трафике Web-сервера такое количество запросов даже заметно не будет.

> Установить 1501xN инстансов самой себя, где N - избыточность для отказоустойчивости

Внезапно. Рекомендация MS - 1 ядро 2,2 ГГц, 1 ГБ ОЗУ на 1000 пользователей и 1000 компьютеров. Рекомендация IBM (как головной компании RH)- 1 ядро 1,6 ГГц, 0,5 ГБ ОЗУ на 4000 пользователей и столько же компьютеров. Без учета отказоустойчивости, конечно. Минимальное количество серверов для AD, гарантирующее сохранность каталога, если между всеми КД нарушится сетевая связанность более чем на 5 минут - 4 штуки. Минимальное количество КД FreeIPA для гарантированной сохранности базы 2 штуки.
Теперь посчитайте минимальное количество серверов, чтобы поддерживать лес, на распределенную организацию хотя бы на четыре подразделения, в которых есть повторяющиеся группы пользователей (бухгалтерия, кадры и т.д.). 16 штук для гарантированного сохранения базы. Хотя там хватит и четырех.

> Их выносят на отдельно стоящий кэш-кластер, структура которого специфична для приложения и движка поиска.

О как! Ваша фраза перфразируется на: "Чтобы пользоваться OU, нужно сделать кэширующий кластер без OU." facepalm.png.

Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

128. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (103), 20-Сен-22, 13:26 
> Куча крупного софта (Radius, WebAuth в Apache/NGINX и PHP), не работает с OU

Во-первых, это не крупный софт. Во вторых мелкий софт с ними не должен работать, они нужны для внедрения ограничений авторизации сверху.

> DDoS на КД можно организовать через Web-приложение, отправив за раз пару тысяч запросов на авторизацию с гарантированно некорректными именами пользователей. В общем трафике Web-сервера такое количество запросов даже заметно не будет.

Вы меня простите за высокомерие, но вы реально не видели ничего крупного. =(

Никто никогда не додумается на крупном развертывании обращаться к LDAP-у напрямую из веб-приложения. То что обычно крутят на Apache/Nginx/PHP для мелкого сайтика - это не то приложение которому требуется каталог, ему и табличка сойдёт.

На больших приложениях правильно делать так:
Каталоги (их обычно несколько и не только AD) и базы используются как хранилища атрибутов. Веб-приложение аутентификации (1) рисует фронтенды по работе с формами, даёт Kerberos и прочий Basic, и даже простой JWT для аутентификации на вебсервисах. Само приложение занимается работой по конвертации между Kerberos Ticket, SAML Assertion, OAuth2 Token и конечно же Cookie для всего этого (дальнейшее объяснение в терминологии OAuth2).

У этого приложения своя база конфигурации, своя база для сессионных данных, ведется учет времени жизни токенов, и работа с токенами обновления. Обычно к такому приложению подключают еще и прокси сервер, тогда оно генерирует разные URN и скоупы для разных локаций подключения, предоставляет возможности предаутентификации и тогда оно ведет учет входов и идентифицируют устройств с которых производился вход, количество попыток последние IP. Такое приложение обычно на предприятии обычно одно. Задача этого приложения прежде всего дать нужные атрибуты из каталога конвертировать их в утверждения (claims) и затем передать их через токен авторизации, заверенный сертификатом пользователю. Далее этот токен может быть предъявлен другому приложению, которому он подходит. Иногда требуется обратная операция: конвертирование JWT или SAML Assertion в сервисный тикет Kerberos, который может быть в последствии предъявлен следующему приложению или даже делегирован на еще один хоп.

Реальное приложение (2) с функционалом подключается именно к приложению аутентификации/авторизации по протоколам типа SAML2 или OAuth2. Оно само ничего не аутентифицирует. Работа с объектами производится на основании того что пришло в токенах и есть доверие между приложением 1 и приложением 2.

Кстати, это все стандартные функции Active Directory, во FreeIPA для этого нужно прикостылять OpenStack Keystone или записаться в некроманты и попытаться оживить мёртвый OpenAM.

Вы сами себе выдумали проблему, подключая приложение к каталогу так, что приложение лезет к парольным атрибутам, вместо того чтобы хотя бы воспользоваться Kerberos-ом не то что чем-то более современным и подходящим для веб-задач. Вообще именно из-за убогости поддержки этого всего и тотальной неграмотности линуксоидов их приложения, если им нужно лезть за пользователями в LDAP напрямую, приходится сажать в гетто (прятать за RODC с ограничением кэшей паролей, делать отдельный LDAP специально для юродивых и пр.) или вовсе переписывать/менять на что-то нормальное, потому что качество этих приложений для конечного энтерпрайза, мягко скажем, посредственное.

Это же хрестоматийная проблема. Вот у нас есть суперсоплекуха, она на линуксе, восславьте нас, вам не надо покупать лицуху на венду. Но нам нужно прицепиться к AD напрямую, прямо к RootDSE, чтобы мы там могли всё делать. А если вам не безопасно и медленно просто перестаньте пользоваться AD есть чудесные LDAP решения для Linux. Причем, бараны искренне удивляются, когда у них спрашивают про SSO, про то как устроена их аутентификация и авторизация. И начинают рассказывать сказки про нужно/не нужно, быстро/медленно.

Дальше кратко пройдёмся по низкому образованию:
Корректное планирование большого AD вы найдете здесь: https://learn.microsoft.com/en-us/windows-server/administrat...
Сравнивать системные требования (память/процы/сторадж) с FreeIPA не имеет смысла, потому что там разный набор сервисов и разная архитектура. Когда я писал, что нужно N для отказоустойчивости FreeIPA, я знаю что пишу. Для маленького AD нужно больше и по другому, потому что там учитывается больше сервисов. Для большого AD там будет выше плотность размещения ввиду того что мультитеннантность достигается средствами OU, а не средствами создания нового экземпляра каталога на каждого клиента. Есть разница между 6-8 физических серверов (12-16 если задействуется Kerberos 5, AES и Compound Kerberos Authentication) под контроллеры и 3000+ виртуалками с FreeIPA (про физическое решение тут можно и не думать). И еще там невообразимый объем педального админства, когда столько инстансов.

> Минимальное количество серверов для AD, гарантирующее сохранность каталога, если между всеми КД нарушится сетевая связанность более чем на 5 минут - 4 штуки.

Правильный ответ 2, если будете восстанавливать вручную и (2 + 1 физический) = 3, если хотите, чтобы оно восстановилось автомагически. Для нагрузки на каталог из приведенного мною примера использовать виртуализацию крайне не выгодно.

> Теперь посчитайте минимальное количество серверов, чтобы поддерживать лес, на распределенную организацию хотя бы на четыре подразделения, в которых есть повторяющиеся группы пользователей (бухгалтерия, кадры и т.д.). 16 штук для гарантированного сохранения базы. Хотя там хватит и четырех.

Вы видимо вообще не понимаете что такое OU. Вы их перепутали с AD Site, потому что именно сайтам нужны другие контроллеры. Это разные вещи. OU - это простой объект каталога, папочка такая со специфичными для нее атрибутами. AD Site - это сущность из области геораспределения, которая тоже имеет свои атрибуты в каталоге, но на самом деле является сущностью Kerberos. Kerberos - это протокол сетевой аутентификации и авторизации он защищает подсеть. Подсеть является частью реалма (в Windows реалм - это "корень леса"). Сайты создаются для того чтобы сделать структуру децентрализированной и построить граф поверх реальной сетевой топологии предприятия. Это с одной стороны оптимизирует процессы репликации, а с другой стороны решает вопрос изоляции периметрических (демилитаризованных зон) и недоверенных сетей бранч-офисов от основной доверенной сети в вопросах аутентификации. OU тут вообще не причем. Вы всё себе перепутали!

> "Чтобы пользоваться OU, нужно сделать кэширующий кластер без OU." facepalm.png.

Добро пожаловать в профессию =)
Каждое высоконагруженное приложение, содержащее функционал полнотекстового поиска должно и обязано кэшировать запросы и ответы. Solr/Lucene хотя бы посмотрите, ну ё моё... Нельзя просто так взять и искать в SQL-базах селектами, нельзя просто так брать и искать в Generic-каталогах фильтрами. Большая часть движков баз вообще не пригодна к полнотекстовому поиску. Серебряной пули не бывает. Вы не сделаете идеальный каталог/базу, которая ищет и работает быстро всегда и для всех задач.

Ну вот есть у вас, например, приложение, которое реализует профили пользователей. Пользователь имеет возможность написать в поле "О себе" текст размеров в несколько мегабайт и у него есть аватар профиля, который тоже весит порядочно. Вы не можете укладывать такие вещи в каталоги и вам нельзя просто так положить такие блобы в базы, если вы собрались что-то искать. Далее расширенные информационные поля профиля пользователя не пойдут в каталог, если используются только в одном приложении, это бессмысленная нагрузка. И вот теперь представьте себе строку поиска по этому по всему. Она работает поверх собственного распределенного кэша, который содержит и данные из каталога, и данные из базы приложения. Такое приложение обычно интегрируется в другие части корпоративных порталов чтобы дать пользователю возможность управлять своим аккаунтам и заполнять некоторые поля в каталоге.

Мне кажется вы с ума сойдете сейчас, но я всё равно скажу: обычный LDAP-клиент на стороне приложения в Linux, реализованный стандартной библиотекой создаёт локальные кэш-базы. Если ваше приложение отказоустойчивой и/или кластеризованное логично было бы этот кэш сделать распределенным в рамках кластера.

И главное, я не понимаю в чем здесь противоречие с OU и как они при этом мешает быстрому поиску. Иерархия OU вам потребуется если у вас есть 1500 организаций из которых 200 имеют кор.порталы в которых есть выделенное приложение по работе с профилями пользователей, которое в свою очередь интегрируется куда-там у них еще. Также OU нужны для синхронизации локального AD-клиента с внешним AD сервисного провайдера.

Вы придумали себе мелкую проблему со скоростью OU, которая находится в пределах погрешности в тех юзкейсах, когда OU реально нужны. В общем я ставлю вам двойку в дневник и в журнал, и вызываю родителей в школу.

Ответить | Правка | Наверх | Cообщить модератору

129. "Выпуск Samba 4.17.0"  +/
Сообщение от EULA (?), 20-Сен-22, 14:04 
> Вы меня простите за высокомерие, но вы реально не видели ничего крупного.

А что, по-вашему, крупный софт?
1С? Или MS SQL?

> Никто никогда не додумается на крупном развертывании обращаться к LDAP-у напрямую из веб-приложения.

Вы это расскажите OVA Exchenge, MS Teams, Office365, GITLAB?  

> То что обычно крутят на Apache/Nginx/PHP

А что же крутится на Web-сервере на крупных проектах? MediaWiki мелкий проект? GITLAB?

>  Для маленького AD нужно больше и по другому, потому что там учитывается больше сервисов.

Какие сервисы есть в AD, которых нет в FreeIPA, кроме DSR, который там не сдался и делается вменяемыми средствами?

Ответить | Правка | Наверх | Cообщить модератору

130. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (103), 20-Сен-22, 20:02 
> А что, по-вашему, крупный софт?

Автоматизации для сервис провайдеров. Корпоративные порталы на 10000+ человек штата. Крупные MDM-решения (1С весьма средненький), собственные, например, поверх AXAPTA.

> Вы это расскажите OVA Exchenge

MS Exchange это всего-навсего почтовый сервер, причем чисто Submission-агент. По умолчанию он ставится в AD Site и в идеале обменивается почтой между сайтами через Edge Transport роль у которой свой LDAP с частичной синхронизацией объектов. Он не просто обращается к AD, он хранит всю свою конфигурацию в AD... вот только он не аутентифицирует пользователей через LDAP, если вы не в курсе. Он не ходит в каталог сличать логины и пароли в зависимости от параметров аутентификации это делает либо IIS через отдельные учётные записи либо олицетворяя пользователей через NETWORK SERVICE по Kerberos, если используются формы и не используется WS-Federation. Есть продукты в MS, которые ходят в LDAP напрямую, но они обычно именно что должны работать с LDAP, тот же RADIUS (NPAS). Есть разница между тем что что-то использует протокол аутентификации и авторизации и что-то лезет в каталог с полными правами, чтобы оттуда хэши паролей дёргать для сравнения. Были бы вы поопытнее, знали бы единственный продукт в MS который так активно делает. Есть способ быстрой синхронизации AD с AzureAD, один из возможных сценариев. Специально для оболтусов^W малых предприятий, кто не осиливает поднять службы федерации. AzureAD Connect называется эта штука. И то, она это не требует а предлагает как опцию.

А теперь давайте подумаем, как Exchange продавать как сервис.
- Ставим AD с правильным именем корня леса в формате "opennet.ru", чтобы было 2 уровня и чтобы никаких local и прочей неподпадающей под стандарт доменного именования дребедени, которые ставят себе двоечники
- Делаем субдомен clients.opennet.ru, с однонаправленным доверием, чтобы инфраструктура возымела выделенный корень
- Делаем по одному сайту на каждый датацентр (локацию), чтобы сформировать Disaster Recovery (пусть для простоты у нас две независимые локации)
- Ставим трёхсерверные физические кластеры Exchange так, чтобы 2 сервера были всегда в одном сайте, а третий в другом.
- Ставим балансировщики нагрузки с отказоустойчивостью на уровне сети (VRRP/BFD) чтобы точка входа в сервисы могла меняться между датацентрами в случае полного сбоя
- Настраиваем 2 независимые инфраструктуры резервного копирования по одной на каждую локацию
- Настраиваем HA/DR для инфраструктуры управляющего контура в выделенном корне леса
В итоге должна получиться группа кластеров, каждый из которых находится в демилитаризованной зоне, работает со своими контроллерами и не лезет дальше разрешенного.

Далее покупаем готовые панели управления или пишем свои собственные, которые организующие оркестрацию этой инфраструктуры. В этой ситуации каждый сайт представляет локацию и есть параметры репликации, отказоустойчивости, восстановления после сбоя и резервного копирования. Далее мы заводим новые и новые организации в AD (они ложатся в CN=Configuration), а пользовательские учетки мы грузим в OU выделенные под каждую организацию в основном каталоге.

Вот тут-то они и нужны эти OU. Когда есть несколько независимых и неуправляемых вами инфраструктур AD, пользователей которых нужно постоянно синхронизировать внутрь большого каталога и внутренние права и группы и много чего еще.

Пример я привожу с Exchange, потому что вы сами его вспомнили, но такая логика с любым сервисом, который хоть чуть готов к продаже as a Service. И вот если какой-то наглец подойдет ко мне лично с предложением "использовать FreeIPA" и "уютненьких группок и контейнеров хватит всем", то я сначала его попытаюсь хоть чему-то обучить, а если не получится, то тогда ударю больно по голове и не поленюсь для этого расшнуровать туфлю, чтобы не делать это руками.

> Какие сервисы есть в AD, которых нет в FreeIPA, кроме DSR, который там не сдался и делается вменяемыми средствами?

AD это не каталог, ADDS - это LDAP+DNS+Kerberos+SMB/DFRS+RPC+SOAP, тем кому это не надо могут использовать ADLDS, который даёт только LDAP не надо путать эти части AD. AD LDS тоже нужен и используется ну хотя бы в том же Exchange. А еще есть AD FS, без которого мало что можно сделать из того что я писал в посте выше. И еще есть AD CS, но увидеть его в крупном развертывании можно только в организации, которая реально требует контроля за политиками выдачи сертификатов, смарткартами и сетевыми устройствами ipsec и WPA Enterprise. Когда вы читаете требования AD, то вам дают исходя из нужд под ADDS, а они объективно выше чем у голой FreeIPA. Я специально не пишу в требования SMB1, NetBIOS, WINS и прочий легаси, который был разработан IBM, а потом куплен и адаптирован для Windows, это всё 10 лет как херят, вон даже ретрограды из Samba ключик добавили чтобы не собирать исторические подсистемы, которые ничего кроме проблем с безопасностью в инфраструктуру не привносят.

> А что же крутится на Web-сервере на крупных проектах? MediaWiki мелкий проект? GITLAB?

Один очень специфичный, а второй и вправду мелкий. А вообще Wiki на движке MediaWiki это такой

Ответить | Правка | Наверх | Cообщить модератору

131. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (103), 20-Сен-22, 20:18 
... способ пытки.

Крупный портал - это прежде всего сервер приложений. Это обычно Jboss/Wildfly, Tomcat и IIS. Чтобы использовать Apache HTTPD как сервер приложений... оно умерло и никто кроме пары софтинок его как AppServer не юзает (1C например на Linux его так использует, потому что у них выбора там особо нет). В большинстве случаев все вебсервисы работают и управляются внешним сервером, который занимается контролем за ресурсами, сборкой серверных включений проксированием и публикацией API. Единственная автоматизация на Linux, которая может хоть что-то сделать в этом направлении это Kubernetes, но когда дело доходит до полностью железного решения, IIS до сих пор безальтернативен по соотношению цена/качество.

На мелких развертываниях для сайтиков на PHP - IIS как собаке пятая нога, потому что веб-сервер работающий на уровне ядра и занимающийся контролем рабочих процессов по работе приложений с ограничениями по процессорному временем и памяти, относительно аппаратной топологии NUMA в мире PHP никому не нужен, равно как и Apache, потому что рабочими процессами там управляют не приложения и не вебсервер, а демон php-fpm, который по совместительству еще и интерпретатор.

Кроме того, о каких там аутентификациях и авторизациях на уровне ОС, и прочих службах каталогах можно говорить, упоминая PHP... это разные задачи, разные программы, это разные миры. Там люди не знаю как всем этим пользоваться и зачем это надо. Угомонитесь уже, это не вам, это не для вас. Пойдите словодавку очередную разверните или медиавики.

Ответить | Правка | Наверх | Cообщить модератору

133. "Выпуск Samba 4.17.0"  +/
Сообщение от EULA (?), 21-Сен-22, 08:54 
MediaWiki - внезапно крупнейший вики-проект как по функционалу, так и по инсталляциям, так и по нагрузке.

> Крупный портал - это прежде всего сервер приложений. Это обычно Jboss/Wildfly, Tomcat
> и IIS. Чтобы использовать Apache HTTPD как сервер приложений

Вот вроде я не писал "Apache HTTPD". Написал "Apache", а это и HTTPD и TomCat, и Jacarta, и даже SVN, и многое другое.
Да, не написал Java.

> IIS до сих пор безальтернативен по соотношению
> цена/качество.

По этому его инсталляций уже и у MS не осталось. 12,5 процентов. Большая часть из которых висит со времен прихода Балмера.

> На мелких развертываниях для сайтиков на PHP - IIS как собаке пятая нога

Да, да Facebook, VK, Instagram, TicTok и прочие соц.сети - мелкие серверы. А почтовые сервисы Google, Яндекс вообще пустые проекты.

> Кроме того, о каких там аутентификациях и авторизациях на уровне ОС, и
> прочих службах каталогах можно говорить, упоминая PHP... это разные задачи, разные
> программы, это разные миры.

Да, да. Единая система авторизации через LDAP, которая делается во всех крупных CMS вообще не нужна.

Там люди не знаю как всем этим
> пользоваться и зачем это надо. Угомонитесь уже, это не вам, это
> не для вас.

Оно и видно, что кроме разворачивания AD, вы больше никакие сервисы внутри сети не разворачивали. Даже VMWare не настраивали на авторизацию в домене.

Ответить | Правка | К родителю #131 | Наверх | Cообщить модератору

135. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (103), 22-Сен-22, 10:41 
> По этому его инсталляций уже и у MS не осталось. 12,5 процентов. Большая часть из которых висит со времен прихода Балмера.

Это нишевый сервер для крупных внутрикорпоративных проектов. Количественная статистика сравнивает тёплое с мягким - это всё бессмысленно. Это как сравнить легковые автомобили с большегрузами 20-тонниками и сказать что количественно легковые автомобиле популярнее в народе, поэтому товар между на дальние дистанции нужно вести всенепременно караваном седанов городского типа, а не на грузовике.

> Да, да Facebook, VK, Instagram, TicTok и прочие соц.сети - мелкие серверы. А почтовые сервисы Google, Яндекс вообще пустые проекты.

Абсолютно пустые, когда речь идёт для организации крупного MDM-решения на железе. Всё это сервисы для конечных пользователей (comsumers), которые имеют мало динамичный бекенд и их крупность выражается в количестве обрабатываемых запросов. Когда у вас речь идёт о сложной динамической инфраструктуре, которая интегрируется с разнородными подсистемами, например, одним куском в автоматизацию производства, другим в НСИ, а третьим в бухгалтерию кадры и деятельность также даёт партнёрские порталы для ДЗО и реселлеров, под которых зачастую дописываются модели интеграции, то тогда сложность в другом. Это решения для крупных заказчиков (clients). Осознайте разницу между Consumers и Clients в английском языке, поймите в чем разница. Думайте.

> Единая система авторизации через LDAP, которая делается во всех крупных CMS вообще не нужна.

Хммм... Я что-то с ходу таких не знаю. Знаю где АУТЕНТИФИКАЦИЯ через LDAP, причем по факту анонимная (на основе форм) и потом бекенд сличает пользователей с инородным каталогом, который радостно закешировал LDAP-клиентом на том же бекенде. Авторизация, то есть разделение ролей и атрибуты в CMS как раз лежат обычно в базе в табличках. А можно мне показать CMS где именно авторизация через LDAP?
Аутентификация через LDAP даром не нужна это как раз то о чем вы писали про возможность ddos и я писал про отсутствие безопасности при попытке подключения такой CMS к AD напрямую.

> Даже VMWare не настраивали на авторизацию в домене.

Настраивал, а при чем здесь варя? Варя всегда объявляет свой домен vmware.local, который можно федерировать с другим доменом по Kerberos и по SAML2 для веб-компонентов. При чём тут варя-то?

Ответить | Правка | К родителю #133 | Наверх | Cообщить модератору

132. "Выпуск Samba 4.17.0"  +/
Сообщение от EULA (?), 21-Сен-22, 08:33 
Чтобы не засорять излишним цитированием, я буду вырезать содержимое внутри абзацев с цитатами.

> Автоматизации для сервис провайдеров. Корпоративные порталы на 10000+ человек штата. Крупные
> MDM-решения (1С весьма средненький), собственные, например, поверх AXAPTA.

И тут мы вспоминаем, что крупнейшие корпорации не используют AD: Apple, Google, IBM, и т..д

>> Вы это расскажите OVA Exchenge
> MS Exchange это всего-навсего почтовый сервер,... Есть
> продукты в MS, которые ходят в LDAP напрямую, но они обычно
> именно что должны работать с LDAP, тот же RADIUS (NPAS). Есть
> AzureAD Connect называется эта штука.
> И то, она это не требует а предлагает как опцию.

Kerberos в бэкенде тоже LDAP использует, а не из астрала берет данные.
Та же авторизация Kerberos на инсталляции в 10 пользователей, 1000 пользователей и 50000 пользователей требует разное количество времени на одном и то же железе сервера и одной и той же сети. Время пропорционально увеличивается с увеличением количества пользователей. Однако, если у нас в одном OU будут пользователи и компьютеры, то время поиска нужной записи еще возрастет. Да, кэш запросов в kerberos есть, но он при большом количестве активных пользователей быстро затирается новыми данными.

> А теперь давайте подумаем, как Exchange продавать как сервис...
> В итоге должна получиться группа кластеров, каждый из которых находится в демилитаризованной
> зоне, работает со своими контроллерами и не лезет дальше разрешенного.

Это вообще никак не связано с OU. Тоже самое можно и нужно делать, даже нужно делать и в случае использования Lotus, Kerio, Postfix/Exim+Dovecot, Zimbra...

> ...Далее мы заводим новые и новые организации в AD (они
> ложатся в CN=Configuration), а пользовательские учетки мы грузим в OU выделенные
> под каждую организацию в основном каталоге.

Что мешает к Configuration привязывать группы?

> Вот тут-то они и нужны эти OU. Когда есть несколько независимых и
> неуправляемых вами инфраструктур AD, пользователей которых нужно постоянно синхронизировать
> внутрь большого каталога и внутренние права и группы и много чего
> еще.

Синхронизация групп даже здесь будет проходить быстрее.

> AD это не каталог, ADDS - это LDAP+DNS+Kerberos+SMB/DFRS+RPC+SOAP,

LDAP+DNS+Kerberos+SMB работает на всех известных мне живых проектов служб каталогов. В том числе и тех, которые строятся исключительно на базе OpenLDAP+MIT-Kerberos+ISC BIND+ISC DHCP+SAMBA3 (да, все еще Samba3)
DFRS - вещь хорошая, но помимо проблем при потере сетевой связанности между КД и редактированием одних и тех же объектов. (Помнится это было главной причиной для IBM, почему они отказались от AD.) Всегда прикалывало, как для одного и того же пользователя на одной той же машине приезжают различающиеся политики в зависимости от того, как какому КД машина подключилась сейчас. (Одну и ту же политику за пять минут два раза отредактировали, подключаясь к разным серверам, когда синхронизация не сработала из-за загруженности сети.) Нифига в логах не было.

> И еще есть AD CS, но увидеть его в
> крупном развертывании можно только в организации, которая реально требует контроля за
> политиками выдачи сертификатов, смарткартами и сетевыми устройствами ipsec и WPA Enterprise.

CA Service-а нет только у ленивого уже. И у Samba. Хотя та же Samba прекрасно предоставляет возможность для 2ФА, но с внешним CA.
ipsec и WPA Enterprise - и опять это можно сделать во многих службах каталогов.
Все это примеры звучат так: "а у этого производителя авто есть руль".

Ответить | Правка | Наверх | Cообщить модератору

136. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (103), 22-Сен-22, 11:21 
> И тут мы вспоминаем, что крупнейшие корпорации не используют AD: Apple, Google, IBM, и т..д

Крупные транснациональные ИТ-корпорации создают с нуля для себя не только каталоги, но и целые ОС и железо.
Не понятно как такое применяется, например к крупному Retail-у или производству на заводе. У заводов и ритейлов нет консьюмерского рынка по продаж ИТ-услуг, у них другой бизнес. ПО в таком бизнесе преимущественно разрабатывается для задач MDM, то есть это SAP, 1C, AXAPTA и прочие. Тёплое с мягким не сравниваем. То что гуглу не нужно AD это вообще ничего не значит.

> Kerberos в бэкенде тоже LDAP использует, а не из астрала берет данные...

Я уже писал выше, что это совсем не та проблема о которой стоит заботиться. В каталогах которых много разных приложений и когда производительность самого каталога имеет высокое значение и так много всего "замедляющего" в схеме. Поддержка просовывания атрибутов прямо внутрь билетов Kerberos (это функционал 5-й версии протокола) приводят чуть ли не к удваиванию требуемы ресурсов, чтобы сохранить производительность, а некоторым и это нужно.

Скорость АУТЕНТИФИКАЦИИ (хватит уже путать её с авторизацией) пользователя по Kerberos - это не повод выковыривать из схемы OU. Кроме того она не часто происходит, если у вас ОС поддерживает Kerberos. В Linux безотносительно FreeIPA/AD вы не можете предъявить закешированный TGT для получения TGS, поэтому если у вас много сервисов завязанных на Kerberos... Самый лучший способ ускорить это всё избавиться от Linux как от ОС на рабочих станциях. Это сократит вдвое количество запросов к KDC и прекратит насилие над пользователем постоянными переспрашиваниями логинов и паролей по 10 раз на дню. И никакая FreeIPA не решит эту проблему, потому что она не там. Чтобы решить это в Linux нужно выкинуть PAM, потому что эта подсистема не способна by-design понять некоторые вещи.

> Что мешает к Configuration привязывать группы?

В основном имеющаяся схема и здравый смысл.
> Синхронизация групп даже здесь будет проходить быстрее.

Да всем начхать на эту скорость, если функционал не подходит. Синхронизация AD притянет не только пользователей но и чужие группы. Таков Exchange, он использует и группы безопасности и группы рассылки для работы с почтой и куча других сущностей каталога, а не только пользователей. Синхронизация притянет много всего и OU выступает в роли контейнера. А ты предлагаешь пихать группы в группы, когда группы имеют одинаковые названия а потом этой кашей рулить? Так никто не делает и не будет делать. Вот за такой вот бред FreeIPA и всё её сообщество не во что не ставят.

Ответить | Правка | К родителю #132 | Наверх | Cообщить модератору

137. "Выпуск Samba 4.17.0"  +/
Сообщение от EULA (?), 23-Сен-22, 06:19 
> То что гуглу не нужно AD это вообще ничего не значит.

AD не нужно, а службу каталогов не своей разработки используют.
IBM вообще купила разработчика службы каталогов.

> Не понятно как такое применяется, например к крупному Retail-у или производству на заводе.

Ретейл или выбирает удобный продукт, или создает свой. Пример последнего питерская компания по производству упаковок из картона.

> Поддержка просовывания атрибутов прямо внутрь билетов Kerberos (это функционал 5-й версии протокола) приводят чуть ли не к удваиванию требуемы ресурсов

Вернемся к примеру Exchange. Пользователь еще ни разу мог не логинится в данном сервисе, но почтовый ящик там создается сразу, чтобы на него приходили письма, если для пользователя задан атрибут email. Это нормальное поведение всех почтовых сервисов. А если вспомнить, что DDoS на AD возможен через DDoS спамом на несуществующие ящики Echange, то становится ясно, что до kerberos дело вообще не доходит, так как механизмы авторизации и аутентификации вообще не используются.

> Кроме того она не часто происходит, если у вас ОС поддерживает Kerberos.

OVA с Android, IOS, Web-броузера из внешней сети прямо так kerberos поддерживает и берет, который берет из астрала.

В Linux безотносительно FreeIPA/AD вы не можете предъявить закешированный TGT для получения TGS, поэтому если у вас много сервисов завязанных на Kerberos..
То внезапно, в Linux в сервисах SMB, NFS (только для FreeIPA), SSH, WebDAV-mount, прекрасно работают c кэшированными тикетами Kerberos. Броузеры и почтовые клиенты - да, не работают. В некоторых клиентах этот механизм сломали с 72 версии.

> Чтобы решить это в Linux нужно выкинуть PAM, потому что эта подсистема не способна by-design понять некоторые вещи.

Ну да. PAM может открывать менеджер паролей Gnome механизмом SSO, а работать с kerberos не может.
По-моему, вы свои знания по Linux получили, читая балмеровский гет зи фактс...

> В основном имеющаяся схема и здравый смысл.

То есть, привычка чистить зубы через задний проход и считать, что это нормально. Ибо вся аргументация ваша сводится к подобной логике.

> А ты предлагаешь пихать группы в группы, когда группы имеют одинаковые названия а потом этой кашей рулить?

Это где в AD можно создать группы с одинаковыми названиями даже в разных OU? Это запрещено делать, так как даже поиск прав пользователей для применения правил безопасности происходит по (&(objectClass=group)(sAMAccountName=somegroup)).

> Да всем начхать на эту скорость, если функционал не подходит.

Какой функционал? Случаем не тот, который стягивает весь домен, чтобы определить чужие группы?
> Синхронизация притянет много всего и OU выступает в роли контейнера.

Зашибись! Притягивать весь домен в OU, вместо того, чтобы просто сделать запрос в тот домен при необходимости. Чтобы потом, когда на двух кд нижестоящего домена CN-ы разъехались из-за той же проблемы связанности сети, то вышестоящий домен просто сломается сам или добьет нижестоящий домен, а скорее всего завалит весь лес. Именно поэтому крупные IT-компании отказались от леса, как о кривой структуре. И даже уже MS лет 10 как говорит, что вместо леса нужно использовать доверие с правильным экспортом групп. Ну да, разрабочик же AD тоже дурак, если говорит, что лес - это ошибка.

> Вот за такой вот бред FreeIPA и всё её сообщество не во что не ставят.

Сам придумал бред, сам в него поверил, сам теперь доказываешь, что это бред!

Ответить | Правка | К родителю #136 | Наверх | Cообщить модератору

121. "Выпуск Samba 4.17.0"  +/
Сообщение от pofigist (?), 17-Сен-22, 19:02 
Ну ты еще раз доказал свою профнепригодность - у тебя с доменом что-то ОЧЕНЬ плохо. Проблема не в OU - проблема в чем-то еще. Чтоб понять в чем - надо смотреть логи. Ты вообще знаешь что это такое и где их искать? :)
Ответить | Правка | К родителю #101 | Наверх | Cообщить модератору

123. "Выпуск Samba 4.17.0"  +/
Сообщение от EULA (?), 19-Сен-22, 05:39 
Кроме истерикой ты аргументировать больше не можешь?
Ведь я тебе привел данные IBM, которые обсуждались здесь три года назад, когда обсуждалась покупка Красной Шляпы IBM.
Если ты такой крутой админ доменов, то почему еще не в IBM работаешь? Из-за профнепригодности не взяли, да?
Ответить | Правка | Наверх | Cообщить модератору

116. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (116), 16-Сен-22, 23:53 
> ОргЮниты те же самые группы

Нет. Просто вы их неправильно использовали всю жизнь.

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

59. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (59), 15-Сен-22, 11:42 
Михаэль Шигорин, мне выпала великая честь поучаствовать в переписке с одним из величайших столпов отечественного дистрибутивостроения, благодарю Вас!

Вместе с тем Вы так красиво ворвались в диалог, но почему-то не ответили на вопрос.

Окажите любезность, пожалуйста!

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

115. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от Аноним (116), 16-Сен-22, 23:30 
Не спеши. Протрезвеет к понедельнику и всем ответит.
Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск Samba 4.17.0"  +/
Сообщение от pofigist (?), 15-Сен-22, 08:52 
Samba является компонентом FreeIPA. Но в астре оно кастрировано немного, ага. А в альте - сломано.
Так что - только RHEL-based дистрибутивы увы, другого Энтерпрайза в линаксе увы нет.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

45. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от Аноним (-), 15-Сен-22, 09:16 
Является компонентом? А для каких целей оно там? Не для того ли, чтобы из ад или другой самбы подтягивать креденшелсы от старого мира проприетарных супостатов?

Рхел базед? А чем работа фриипы скажем на федоре принципиально отличается скажем от дебияна?

Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от ВыньОпух (ok), 15-Сен-22, 11:29 
> А чем работа фриипы скажем на федоре принципиально отличается скажем от дебияна?

тем, что ставится dnf-ом из rpm-пакета, а не apt-ом из deb-ов.

PS: а если серьезно: не помню, есть ли в deb-версии FreeIPA настройка политик SELinux.

Ответить | Правка | Наверх | Cообщить модератору

78. "Выпуск Samba 4.17.0"  +/
Сообщение от pofigist (?), 15-Сен-22, 16:49 
RHEL-based дистрибутивы имееют полноценные службы каталогов, а не только хипстерскую поделку FreeIPA
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

84. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 17:01 
Вы предлагаете спрыгнуть с мс прямиком в редхат?
А в чем профит? Редхат еще дает в РФ?
Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от ВыньОпух (ok), 15-Сен-22, 11:19 
> Samba является компонентом FreeIPA.

С каких пор Samba DC является компонентом FreeIPA?
> Но в астре оно кастрировано немного, ага.

В чем именно кастрировано?
Почему у других работает.
> А в альте - сломано.

Где? Почему у меня работает как инсталляция свободного аналога AD, так и в FreeIPA?
Может все-таки немного сломано, но в другом дистрибутиве?

> Так что - только RHEL-based дистрибутивы увы, другого Энтерпрайза в линаксе увы
> нет.

Samba DC очень долго не собирали в RHEL-based дистрибутивов из-за проблем функционала с Heimdal, и неработающим функционале MIT-Kerberos.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

79. "Выпуск Samba 4.17.0"  +/
Сообщение от pofigist (?), 15-Сен-22, 16:52 
> С каких пор Samba DC является компонентом FreeIPA?

С самого начала.

> В чем именно кастрировано?

Хотя бы в том что доверие возможно только одностороннее. А тупые разрабы астры еще пообрезали кучу других мелочей, без которых не работает почти ничего, но видимо не смогли объяснить зачем это нужно сертифицирующим органам.


> Почему у меня работает как инсталляция свободного аналога AD, так и в FreeIPA?

Потому что ты не имеешь нормальной работы и экспериментируешь в своей домашней сеточке.

Ответить | Правка | Наверх | Cообщить модератору

83. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от Аноним (-), 15-Сен-22, 16:59 
Извините, что встрял, но поноценного пакета самбы в фриипа нет. И это вполне резонно. Вы можете убедиться в этом, открыв документацию.
Ответить | Правка | Наверх | Cообщить модератору

102. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от EULA (?), 16-Сен-22, 06:06 
Ты доказал, что твоя профпригодность равна нулю.
> Хотя бы в том что доверие возможно только одностороннее.

Что за бред?
FreeIPA уже лет как 7 двустороннее доверие с MS AD поддерживает. А c Samba AD только двустороннее и может, так как одностороннее вообще не умеет. И с ней FreeIPA работает.

> Потому что ты не имеешь нормальной работы и экспериментируешь в своей домашней сеточке.

Скажи, а где принимают на работу тех, кто научился только фапать на винду и не сти бред про другие продукты? Мне надоело работать на работе для умных, хочу как ты получать деньги за тупость.

Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

18. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (18), 14-Сен-22, 19:43 
Надеюсь они наконец пофиксили утечки памяти. А то пришлось на sshfs перейти в одном специфичном сценарии, где проявлялось.
Ответить | Правка | Наверх | Cообщить модератору

100. "Выпуск Samba 4.17.0"  +/
Сообщение от Ivan_83 (ok), 15-Сен-22, 23:53 
sshfs тоже патчить надо.
Автор его забросил, а у меня патчей штук 5 наверное уже.
Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от pofigist (?), 15-Сен-22, 08:49 
Полноценный контроллер домена?! Без поддержки структуры леса доменов? К сожалению, но нет.
Нет, доверия - недостаточно. Ent. Admin - необходимое требование СБ, без этого - эксплуатировать нельзя.
Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск Samba 4.17.0"  +2 +/
Сообщение от Аноним (-), 15-Сен-22, 09:32 
Им нравится когда можно вы...ть все компьютеры в компании по легкому? Интересные у вас безопасники. Как тут некоторые задались вопросом "а они вообще за кого?" :)
Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 09:39 
Коллега, плюсую. Тем же вопросом задался. Но пока писал Вы опередили.
Запасаем попкорн, чере квартал будет много боли.

Зы. А чего с тындыхсом произошло? Хипстеры захватили?
Дзен кокой-то наркоманский открывается. Это теперь поиск или какой-то треш для домохозяек?

Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (60), 15-Сен-22, 11:46 
Тындекс теперь объединил пару сервисов с VK и теперь он dzen.ru.
Поиск теперь только  ya.ru
Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 12:03 
В яру новости пальчиком не промотать.
А на дзене оно теперь пальчиком не работает. Поломали.
Блджа, в какое уг все это превратили.
Пришло поколение смуззи манагеров?


Зы. И даже сеарх забанили, скотиняки!

Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск Samba 4.17.0"  +/
Сообщение от ананим.orig (?), 15-Сен-22, 12:11 
> Дзен кокой-то наркоманский

Может все-таки "дзынь"?
А то как-то не_по_импортозаместятельски.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

65. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (65), 15-Сен-22, 12:25 
Тогда скорее "бсдынь".
Релевантее для современного положения дел в импортозаместительстве.
Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (-), 15-Сен-22, 09:35 
А СБ ничего в требованиях не говорит об обновлениях виндавс?
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

52. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (52), 15-Сен-22, 10:36 
Поддержку Windows 10/11 так и не завезли?
Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от ВыньОпух (ok), 15-Сен-22, 11:22 
> Поддержку Windows 10/11 так и не завезли?

Прекрасно Samba DC авторизует пользователей на машинах с Win 10/11. И к шарам доступ дает. И штатный мелкомягкий RSAT с ней работает за исключением задания зон перенаправления.

Ответить | Правка | Наверх | Cообщить модератору

90. "Выпуск Samba 4.17.0"  +1 +/
Сообщение от rinat85 (ok), 15-Сен-22, 17:41 
Шаблоны групповых политик тоже копируются в sysvol (добавил)
Ответить | Правка | Наверх | Cообщить модератору

107. "Выпуск Samba 4.17.0"  +/
Сообщение от опытный лентяй (?), 16-Сен-22, 13:59 
А репликацию sysvol между DC завезли? Раньше костыли предлагались.
Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск Samba 4.17.0"  +4 +/
Сообщение от ВыньОпух (ok), 15-Сен-22, 11:23 
Ждем ебилдов в Сизифе
xD
Ответить | Правка | Наверх | Cообщить модератору

125. "Выпуск Samba 4.17.0"  +/
Сообщение от Аноним (125), 19-Сен-22, 14:48 
Сам возьми да сделай для своего дистрибутива пакет
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру