-
/1247620-2885312134_1e80bd8362_o.jpg)
Винда, надёжность, банкоматы...
Теги:
Ylytch
yacc> В виндовой сети легко настраиваются slave-сервера и при падении мастера клиент спокойно продолжает аутентифицироваться на slave-е.
Угу, все хорошо, вот только в терминологии AD понятия master & slave DC сервер отсутствует напрочь. Есть понятие равноправные мастера репликации, и FSMO role holder.
Если говорить словами IBM Tivoli Directory Server такая структура называется одноранговой.
yacc> читывая что ну LDAP ты на клиентах настроишь. И в конфигурации будет торчать имя/адрес сервера
Эээээ?!?!?
Мин синем айннамым.
А DynDNS и SRV рекордс на 389/636 порт религия пользовать не велит,не?
Боюсь, здесь вы невольно передернули уважаемый, либо я вас неправильно понимаю.
Да, несколько равноправных серверов для Linux/Unix тоже давно не новость.
Гуглим проект <<389>> / Red Hat DS /Tivoli DS.
Best regards
Угу, все хорошо, вот только в терминологии AD понятия master & slave DC сервер отсутствует напрочь. Есть понятие равноправные мастера репликации, и FSMO role holder.
Если говорить словами IBM Tivoli Directory Server такая структура называется одноранговой.
yacc> читывая что ну LDAP ты на клиентах настроишь. И в конфигурации будет торчать имя/адрес сервера
Эээээ?!?!?
Мин синем айннамым.
А DynDNS и SRV рекордс на 389/636 порт религия пользовать не велит,не?
Боюсь, здесь вы невольно передернули уважаемый, либо я вас неправильно понимаю.
Да, несколько равноправных серверов для Linux/Unix тоже давно не новость.
Гуглим проект <<389>> / Red Hat DS /Tivoli DS.
Best regards
инфо
инструменты
Ylytch> Угу, все хорошо, вот только в терминологии AD понятия master & slave DC сервер отсутствует напрочь. Есть понятие равноправные мастера репликации, и FSMO role holder.
Если вопрос терминологии - ты безусловно прав. Но ты понял о чем я.
yacc>> читывая что ну LDAP ты на клиентах настроишь. И в конфигурации будет торчать имя/адрес сервера
Ylytch> Эээээ?!?!?
Ylytch> Мин синем айннамым.
Ylytch> А DynDNS
Не хочется завязываться на инет рассматривая что потенциально его может не быть.
Ylytch>и SRV рекордс на 389/636 порт религия пользовать не велит,не?
Ой слово какое знакомое
Да я бы с удовольствием - но как?
Ylytch> Боюсь, здесь вы невольно передернули уважаемый, либо я вас неправильно понимаю.
Скорее второе. Ниже объясню case.
Ylytch> Да, несколько равноправных серверов для Linux/Unix тоже давно не новость.
Ylytch> Гуглим проект <<389>> / Red Hat DS /Tivoli DS.
Ylytch> Best regards
Вот спасибо! Ты хоть слова правильные знаешь - первый в этой ветке кто понял о чем речь. Только вот в чем фишка - RH DS и Tivoli исключаем ( коммерческие ), а вот 389 - да, интересно. По интерфейсу очень мне напоминает SunONE, с которым я баловался. Попутно нашел Apache DS. Все это гораздо приятнее чем OpenLDAP.
Теперь смотри case: хочется поднять сеть с доменом. Чтобы я поднял серваки ( один PDC, один BDC ), DNS, DHCP, а пользователи тупым образом зарегистрировались и получили что им нужно. Т.е. заведя аккаунт в AD и дав ему права добавлять в домен я сниму с себя головную боль по настройке клиентов либо для себя же ее минимизирую - пользователь имея машину с установленной ОС при регистрации получит IP, зарегистрирует машину в DNS и пользователи/группы смогут воспользоваться этой машиной/другими ресурсами сети не манипулируя с локальными аккаунтами. При перебое с одним DC второй работу с пользователями легко подхватит.
Теперь в Линух. Тот же случай. У пользователя уже на машине установлена ОС - надо обеспечить работу в сети и доступ зарегистрированных в сети ( LDAP\Kerberos ) пользователей. Setup дистрибутива по-умолчанию настроит конфигурацию Линукса как Stand-alone машине и мне придется лезть ручками, проверяя наличие требуемых уставновленных пакетов ( и доставляя их по необходимости - да, пакетный менеджер мне тут поможет ), а потом лезть ручкам и править конфиги. Начиная с модификации PAM/NSS и заканчивая настройками клиентской части LDAP и керберос. Как завязать это на конкретные серваки LDAP и Kerberos я-то представляю - делал. А вот как их завязать на домен не вводя конкретные адреса/имена машин, чтобы по SRV они их нашли сами - пока не получалось. И это не говоря про то, что чтобы машина сама получила IP от DHCP ( это легко ) и прописала себя в DNS ( используя DDNS ) - а вот это сложнее. Поскольку DNS должна потребовать аутентификацию а не пускать на обновление всяких дятлов и сделать бы ее по Керберосу, только как так настроить BIND у меня тоже не получалось. Это просто какие-то эзотерические знания для гуру если посмотреть глазами вин-админа. Этот момент ( шастание по конфигам на машинах, которые вводят в сеть ) - ключевой, точнее что он отсутствовал. Я понимаю, что у Линуксоидов уже руки заточены на это и другого варианта настройки они и не мыслят, но можно спокойно жить по другому. Разленился я в этом плане - когда поподнимаешь сети на виртуалках в разных комбинациях для тестирования ( вперед тестеров - пока они тебе багов не накидают ) поймешь, что на виндах компы добавляются/удаляются из сети гораздо удобнее и тебе интереснее заниматься своей работой ( программировать и отлаживать ), а не настраивать постоянно машины ручками лазяя по конфигам тратя на это время.
Потому что я тупо беру книгу издательства MS про AD и строю такую сеть не прибегая ни к каким консолям. Я же беру вот эту книгу Amazon.com: Beginning Ubuntu Server Administration: From Novice to Professional (Expert's Voice) (9781590599235): Sander van Vugt: Books
и нифига там подобного не вижу.
Ок. Берем по-сложнее: Amazon.com: Pro Ubuntu Server Administration (Expert's Voice in Linux) (9781430216223): Sander van Vugt: Books
там уже есть настройкак LDAP\Kerberos ... в простейшем примере. Но ничего не сказано как тому же администратору эффективно этим пользоваться для текущих задач - задания времени истечения пароля, как пользователь его будет менять. Да и как настроить аутентификацию на LDAP по Kerberos-паролю ( а не Anonymos или копируя на все локальные машины некий TLS-secret ) тоже ничего не сказано.
Т.е. чтобы добраться до такой задачи как настроить удобно работающую сеть надо иметь целый набор книг ( лучше еще отдельные - по DNS\DHCP по OpenLDAP по Kerberos по BIND ) и состоять в "линукс-братстве" ( т.е. вертеться по форумам ). И нет стандарта - т.е. четкой последовательности действий которые приведут меня к результату - на разных форумах мне посоветуют разное и мозаику из кусочков мне собирать самому. Ну а каком серьезном распространении линукса, особенно в конторах простых пользователей, может идти речь ( имею ввиду, что в конторе стоял только линукс на всех машинах )?
Если вопрос терминологии - ты безусловно прав. Но ты понял о чем я.
yacc>> читывая что ну LDAP ты на клиентах настроишь. И в конфигурации будет торчать имя/адрес сервера
Ylytch> Эээээ?!?!?
Ylytch> Мин синем айннамым.
Ylytch> А DynDNS
Не хочется завязываться на инет рассматривая что потенциально его может не быть.
Ylytch>и SRV рекордс на 389/636 порт религия пользовать не велит,не?
Ой слово какое знакомое
Да я бы с удовольствием - но как?Ylytch> Боюсь, здесь вы невольно передернули уважаемый, либо я вас неправильно понимаю.
Скорее второе. Ниже объясню case.
Ylytch> Да, несколько равноправных серверов для Linux/Unix тоже давно не новость.
Ylytch> Гуглим проект <<389>> / Red Hat DS /Tivoli DS.
Ylytch> Best regards
Вот спасибо! Ты хоть слова правильные знаешь - первый в этой ветке кто понял о чем речь. Только вот в чем фишка - RH DS и Tivoli исключаем ( коммерческие ), а вот 389 - да, интересно. По интерфейсу очень мне напоминает SunONE, с которым я баловался. Попутно нашел Apache DS. Все это гораздо приятнее чем OpenLDAP.
Теперь смотри case: хочется поднять сеть с доменом. Чтобы я поднял серваки ( один PDC, один BDC ), DNS, DHCP, а пользователи тупым образом зарегистрировались и получили что им нужно. Т.е. заведя аккаунт в AD и дав ему права добавлять в домен я сниму с себя головную боль по настройке клиентов либо для себя же ее минимизирую - пользователь имея машину с установленной ОС при регистрации получит IP, зарегистрирует машину в DNS и пользователи/группы смогут воспользоваться этой машиной/другими ресурсами сети не манипулируя с локальными аккаунтами. При перебое с одним DC второй работу с пользователями легко подхватит.
Теперь в Линух. Тот же случай. У пользователя уже на машине установлена ОС - надо обеспечить работу в сети и доступ зарегистрированных в сети ( LDAP\Kerberos ) пользователей. Setup дистрибутива по-умолчанию настроит конфигурацию Линукса как Stand-alone машине и мне придется лезть ручками, проверяя наличие требуемых уставновленных пакетов ( и доставляя их по необходимости - да, пакетный менеджер мне тут поможет ), а потом лезть ручкам и править конфиги. Начиная с модификации PAM/NSS и заканчивая настройками клиентской части LDAP и керберос. Как завязать это на конкретные серваки LDAP и Kerberos я-то представляю - делал. А вот как их завязать на домен не вводя конкретные адреса/имена машин, чтобы по SRV они их нашли сами - пока не получалось. И это не говоря про то, что чтобы машина сама получила IP от DHCP ( это легко ) и прописала себя в DNS ( используя DDNS ) - а вот это сложнее. Поскольку DNS должна потребовать аутентификацию а не пускать на обновление всяких дятлов и сделать бы ее по Керберосу, только как так настроить BIND у меня тоже не получалось. Это просто какие-то эзотерические знания для гуру если посмотреть глазами вин-админа. Этот момент ( шастание по конфигам на машинах, которые вводят в сеть ) - ключевой, точнее что он отсутствовал. Я понимаю, что у Линуксоидов уже руки заточены на это и другого варианта настройки они и не мыслят, но можно спокойно жить по другому. Разленился я в этом плане - когда поподнимаешь сети на виртуалках в разных комбинациях для тестирования ( вперед тестеров - пока они тебе багов не накидают ) поймешь, что на виндах компы добавляются/удаляются из сети гораздо удобнее и тебе интереснее заниматься своей работой ( программировать и отлаживать ), а не настраивать постоянно машины ручками лазяя по конфигам тратя на это время.
Потому что я тупо беру книгу издательства MS про AD и строю такую сеть не прибегая ни к каким консолям. Я же беру вот эту книгу Amazon.com: Beginning Ubuntu Server Administration: From Novice to Professional (Expert's Voice) (9781590599235): Sander van Vugt: Books
и нифига там подобного не вижу.
Ок. Берем по-сложнее: Amazon.com: Pro Ubuntu Server Administration (Expert's Voice in Linux) (9781430216223): Sander van Vugt: Books
там уже есть настройкак LDAP\Kerberos ... в простейшем примере. Но ничего не сказано как тому же администратору эффективно этим пользоваться для текущих задач - задания времени истечения пароля, как пользователь его будет менять. Да и как настроить аутентификацию на LDAP по Kerberos-паролю ( а не Anonymos или копируя на все локальные машины некий TLS-secret ) тоже ничего не сказано.
Т.е. чтобы добраться до такой задачи как настроить удобно работающую сеть надо иметь целый набор книг ( лучше еще отдельные - по DNS\DHCP по OpenLDAP по Kerberos по BIND ) и состоять в "линукс-братстве" ( т.е. вертеться по форумам ). И нет стандарта - т.е. четкой последовательности действий которые приведут меня к результату - на разных форумах мне посоветуют разное и мозаику из кусочков мне собирать самому. Ну а каком серьезном распространении линукса, особенно в конторах простых пользователей, может идти речь ( имею ввиду, что в конторе стоял только линукс на всех машинах )?
Это сообщение редактировалось 25.09.2009 в 11:30
Balancer> Тут некоторые про гипераудитинг и сверхтестирования серьёзных систем распираются...
Не под сабжект, но про надёжность
Не под сабжект, но про надёжность
«Касперского» атаковали хакеры
В воскресенье американский сайт «Лаборатории Касперского» в течение трех с половиной часов распространял вредоносное ПО. Компания признала факт взлома своего сайта.
В минувшее воскресенье американский сайт российского антивирусного разработчика «Лаборатории Касперского» был замечен в распространении вредоносного ПО.
Первыми засвидетельствовали факт заражения три американских пользователя «Касперского» на форуме официального сайта компании. Издание The Register приводит слова одного из них, зарегистрировавшегося под ником wcking3, который рассказывает о своем обращении в службу поддержки. Представители компании, с которыми wcking3 связался по поводу заражения компьютера его отца, не подтвердили факта взлома сайта, предположив, что, вероятнее всего, он стал жертвой фишеров, перенаправивших его на поддельный сайт «Лаборатории», откуда и распространялись вредоносные программы.
Но спустя два дня представительство «Лаборатории Касперского» в США признало, что хакеры смогли взломать сайт kasperskyusa.com, в результате чего его посетители перенаправлялись на зараженные веб-страницы.
// дальше - CNews: «Касперского» атаковали хакеры
// via Форум - Talks - Касперский не пишет вирусы, он их раздаёт
- Последние действия над темой
- Balancer [20.09.2009 16:23]: Предупреждение пользователю yacc, 20.09.09
- Balancer [22.09.2009 17:49]: Предупреждение пользователю Kernel3, 22.09.09
- Balancer [22.09.2009 18:03]: Предупреждение пользователю yacc, 22.09.09
- Balancer [22.09.2009 18:03]: Предупреждение пользователю Kernel3, 22.09.09
- Все действия над темой
Copyright © Balancer 1997..2018
Создано 18.09.2009
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
Создано 18.09.2009
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
