Active Directory & Linux

[Mike22]

Серьёзной преградой внедрения Linux на корпоративном уровне является сложность интеграции с технологией Active Directory (AD) от M$.
Linux-клиент сейчас не проблема, есть и бесплатные готовые решения, и "напильником" можно (при наличии опыта) любую Linux-машину научить в AD входить и быть его полноценным участником.
Сложности начинаются, когда возникает небходимость реализовать аналогичный по возможностям AD сервер на базе Linux.
Собственно больших сложностей нет, если у вас в сети только Linux-клиенты,
но если клиентами являются и W89, W2K WXP, W2003 - это серьёзная головная боль.
Конечно, все эти проблемы решаемы, причём с помощью стандартных инструментов
- практически все возможности AD можно реализовать связкой Samba-Kerberos-LDAP
но сил на это придётся немало потратить.
Не лучше-ли воспользоваться готовыми продуктами?
Например бесплатным Fedora Directory Server, который уже вплотную приближается по функциональности к M$ AD - http://directory.fedora.redhat.com/
Посмотреть вложение 1295 Посмотреть вложение 1294 Посмотреть вложение 1293 Посмотреть вложение 1296

Существуют и платные решения, которые в последнее время появляются как грибы после дождя,
но стоимость их как минимум в 3-4 раза меньше, чем у продуктов M$.

=======================
Гм.
Вот, написал, и думаю, - эта тема хоть кому-нибудь интересна/актуальна???
Хотелось бы услышать ваши мнения.

 

[biz]

Например бесплатным Fedora Directory Server, который уже вплотную приближается по функциональности к M$ AD

у меня 1 вопрос, но определяющий - групповые политики (ну или их подобие) реализованы ?

 

[Mike22]

у меня 1 вопрос, но определяющий - групповые политики (ну или их подобие) реализованы ?

Наследование прав?
Или заморочки с DOM и .NET`ом?
Второго конечно нет.

 

[biz]

Наследование прав?
Или заморочки с DOM и .NET`ом?
Второго конечно нет.

кхе ... ну некоторое наследование прав несомненно присуцтвует ... :mellow:
самому писать лень, вот те для примерного понимания ссылку нашёл ...

зы: если под рукой есть вынь не ниже в2к, то есть локальная политика ... она урезана по сравнению с доменной, но наглядное представление можешь получить ...

 

[Mike22]

Biz©, это понятно, я наверное не совсем корректно выразился.
FDS не в полной мере функциональность AD обеспечивает,
он не позволяет делать такие вещи как "Удалённое управление компьютером" и т.п.
Но, иерархическое централизованное хранение учётных записей, паролей, правил доступа, настроек и т.п. - без проблем.

 

[biz]

Biz©, это понятно, я наверное не совсем корректно выразился.
FDS не в полной мере функциональность AD обеспечивает,
он не позволяет делать такие вещи как "Удалённое управление компьютером" и т.п.
Но, иерархическое централизованное хранение учётных записей, паролей, правил доступа, настроек и т.п. - без проблем.

ты либо не читал ту ссылку, либо не пнял што читал ...
это не "удалённое управление компутером", а автоматическая настройка среды работы компутеров и пользователей по групповому принципу ... т.е. просто переводя компутер или пользователя из одного ou в другой я меняю им эту среду ... под средой понимается широкий набор настроек ОС и её компонентов, авторизация ресурсов, скрипты входа-выхода, адаптированное под "тихую" установку ПО ... дополнительная гибкость применения политик обеспечивается фильтрами на базе wmi ...
основное время применения политик - старт компутера и логон узера, но немалая их часть может применяться и "на лету" ...

 

[Mike22]

ты либо не читал ту ссылку, либо не пнял што читал ...

Да, понял я, что ж ты меня совсем уж ... :mellow:
Могу сам тебе книжек подкинуть типа "Active Directory for Windows Server 2003" или "Managing and Maintaining Windows Server 2003 Environment"
Вся функциональность AD которая реализуется через передачу текстовых пар имя-значение будет работать в FDS.

Мы с тобой, как обычно, одно и то-же разными словами друг другу рассказываем h34r:

 

[biz]

Вся функциональность AD которая реализуется через передачу текстовых пар имя-значение будет работать в FDS.

да не то всё это ...
на данном этапе развития я наоборот, под w2k3r2 реализовываю аутентикацию пользователей в линухе, эт стало уже совсем просто ... да и серверов под линух бывает на порядок меньше, чем клиентов под вынь :mellow:
и именно поэтому я приветствовал дружбу m$-novell тк было заявлено скорое взаимопонимание ad - edirectory ...

 

[Mike22]

и именно поэтому я приветствовал дружбу m$-novell тк было заявлено скорое взаимопонимание ad - edirectory ...

Novell® eDirectory™ это хорошо, только вот платная она :mellow:
хотя функционально ничем от Fedora Directory Server не отличается.
Дружбу я не приветствую, но за взаимопонимание AD <=> xDirectory - двумя руками h34r:

Кстати, новость по теме -
23 января вышла новая версия Xandros Desktop – Professional - $99
"Seamless integration into existing Windows-centric networks is provided through support of domain authentication, logon scripts, and group policy profiles. Enterprise-class features include seamless access to shared Windows folders and printers, the ability to write to Windows NTFS partitions, seamless Microsoft Exchange connectivity, support for third-generation HSDPA UMTS (3GSM) and mobile telecommunications, dual-core, SMP and hyper-threading support, and ready for mass deployment in enterprise settings via xDMS, Xandros Deployment and Management Server."
http://www.xandros.com/news/press_releases...w_shipping.html
Этот Xandros Deployment and Management Server - достаточно интересная штука.

 

[biz]

Novell® eDirectory™ это хорошо, только вот платная она :mellow:

именно поэтому я уже писал, што мне интересней была бы дружба m$-rh h34r:

 

[amk]

Novell® eDirectory™ это хорошо, только вот платная она

А когда это AD бесплатно можно было получить ??? В комплекте с W2003 ?

eDirectory vs AD - это кино просто Одно одеяло поделить не могут. :mellow:

PS: Вообще-то eDirectory без ZEN... для MS систем наверное никому не нужна h34r:
А вот ZEN... уж точно бабок стоит.

 

[Mike22]

amk, я если честно из вашего поста ничего не понял.
И, кстати, что такое ZEN?

 

[biz]

amk, я если честно из вашего поста ничего не понял.
И, кстати, что такое ZEN?

гхм ... http://www.novell.com/products/zenworks/overview7.html

 

[Mike22]

гхм ... http://www.novell.com/products/zenworks/overview7.html

Ясно.
Упомянутый мной "Xandros Deployment and Management Server" - софт аналогичного уровня/назначения.

 

[Mike22]

Ещё немного пооффтоплю h34r: на тему

у меня 1 вопрос, но определяющий - групповые политики (ну или их подобие) реализованы ?

Меня всегда поражала способность M$ придумывать громкие названия и выдавать их за революционные технологии.
И, главное - у них получается. Многие действительно считают, что групповые политики - что-то особое. Маркетинг, блин :mellow:
Пример -
сервер аутентификации хранит

Name=Mike22
Password=secret

всё понятно, ничего особенного
добавляем ещё одну запись

notepad.exe=NoRun

всё!!! Новая эра! Групповая политика!

 

[vav]

Люди, а кто-нибудь ставил ZENworks? Желательно под линукс?

 

[biz]

Меня всегда поражала способность M$ придумывать громкие названия и выдавать их за революционные технологии.
И, главное - у них получается. Многие действительно считают, что групповые политики - что-то особое. Маркетинг, блин :mellow:
Пример -
сервер аутентификации хранит

Name=Mike22
Password=secret

всё понятно, ничего особенного
добавляем ещё одну запись

notepad.exe=NoRun

всё!!! Новая эра! Групповая политика!
h34r:

а я уже давно привык к способности фанов линуха хаять всё, связанное с m$ ... даже то, в чём ничего не понимают и никогда с этим не работали ... даже с опытом на уровне узера вин95 ... даже когда и аргументов нет, кроме "must die" ... специфика мышления, однако ...
Mike22, не позорься с такими примерами и выводами из них ...

 

[Mike22]

Biz©, да не принимай ты всё так близко к сердцу :mellow:
Напомню тебе нашу беседу -

- Вся функциональность AD которая реализуется через передачу текстовых пар имя-значение будет работать в FDS.
- да не то всё это ...

Это как раз то.
95% возможностей AD построенно именно на этом - передача от сервера к авторизованному в домене (на том или другом уровне) клиенту,
сообщений в виде таких строковых пар.
А, M$ я нигде ни хаял, даже вроде комплимент им сделал h34r:

 

[biz]

я уже давно ничего такого не принимаю близко к сердцу, мя эт наоборот улыбает ... :mellow:
гы ... как-то пару месяцев назад столкнулся на одном из форумов с линух-фаном по поводу данной темы ... он брызгал в меня слюной (в стандартном фан-стиле), доказывая што линуховый openldap с рукописными скриптиками и ручным удалённым манагементом значительно луче ad и все эти политики и навороты ad - сплошное ламерство даже для сеток с полутысячей компутеров ... я позадавал наводящие вопросы, прошёлся по стилям администрения и на том расстались ... на днях я вновь наткнулся на сообщения того же человека на том же форуме, который теперь уже однозначно заявлял, што аналогов AD в области инфраструктуры для вин-клиентов на линухах и близко не видно ...
отдаю должное, што не совсем потеряный человек и нашёл мужество детально ознакомиться с предметом h34r:
ну а насчёт пар: любая система конфигурации суть пара параметр-значение ... смысл в удобстыве и эффективности _системы_ конфигурирования ... есть канешна мазохисты, которые и лдап ручками в vi админят ...

 

[Mike22]

Biz©, согласен.
Но, меня очень радует появление бесплатных аналогов AD,
хоть они ещё и не приблизились по удобству к M$ продуктам.
(тут, и правда, спорить нечего)