20.03.2012 1:31, Maksym Tiurin пишет:
Как владелец Samba-домена (с учётками в LDAP) на ~200 пользователей могу сказать следующее: 1) Poledit подходит для систем включая WinXP (которые потихоньку начинают вымирать), а в Win 7 они никак не работают (Win Vista мы успешно пропустили).evgeny writes:[Исходное сообщение опубликовано на форуме: http://manualpages.pro/node/105] Решил я собрать воедино мысли о том, как управлять сетью предприятия. Так чтоб с одной стороны, удобно было, а с другой - не дорого и безопасно. Из того, что нынче есть в наличии и опробовано, рассказываю. *1*. Домен на Samba 3, без дополнений, то есть - с локальными пользователями. Эмулируется NT-домен, хорошо подходит для маленьких сеток. Вся настройка сводится к копированию конфигурации smb.conf и заведении пользователей, которое, кстати, можно придумать через какую-то Web-интерфейсину. Принципиально, можно попробовать множество дополнений, например, NT-политики. + простота, до дубового - заводить в такой домен Linux-машины кажется извращением - GPO полноценного нет"Полноценный" это со всеми плюшками 2008-го сервера? Если не обязательно то никто не мешает poledit'ом нагенерить нужных политик и сложить на самбу.
2) Poledit не поддерживает иерархическое наследование политик, т.е. там объектами управления являются:
-- пользователь; -- группа пользователей; -- компьютер. Чаще всего этого хватает, но для больших сетей это неудобно.3) Весь софт у меня устанавливается через WPKG (для Win-машин). Мы долго спорили с коллегами по поводу установки софта WPKG vs AD и договорились, что в WPKG сам софт ставится удобней (не нужно заморачиваться с перепаковкой в msi, гибче возможности по проверкам на необходимость установки и т.д.), но управление группами установки в AD лучше.
4) Вогнать Linux (Ubuntu 11.10) в Samba-домен оказалось то ещё приключение:Сначала я пытался авторизоваться через Samba (не помню что именно, но что-то в этой схеме мне не понравилось). Потом я сделал аутентификацию через pam_ldapd и nss_ldapd (на манер Debian Squeeze), но этот вариант тоже работал так себе, т.к. заставить аутентифицироваться комп с доменной учёткой при отсутствии сети почему-то не получилось (pam_ccred я использовал и nss-updatedb тоже), возможно это связано именно с Ubuntu 11.10 и не стандартными для неё pam_ldapd и nss_ldapd. Достаточно просто и элегантно заработал вариант с LDAP через pam_sss и nss_sss (это клиентская часть FreeIPA, которая появилась начиная с Ubuntu 11.10, в ReHat-based, по идее, должно быть уже давно). Но в этом варианте не работает сквозная аутентификация (SSO), т.к. Linux ничего не знает о NTLM, а Kerberos я не поднимал. Для подключения шар, требующих аутентификации, можно использовать pam_mount, но (чьёрт побери!!!) это нафиг ломало сеть при засыпании ноутбука, так что я от него отказался.
5) Я уже долго и занудно ищу варианты админки для управления учётками в LDAP, до сих пор не нашёл... Из того что можно посмотреть: -- LDAP Account Manager (LAM) -- простой, вроде всё необходимое есть, но запуск скриптов на создание учётки только в коммерческой верссии, поэтому отпал. -- GoSA -- супермегакомбайн, который вносит множество своих атрибутов в LDAP для работы. Если бы оно управляло только учётками, я бы этого монстра наверно полюбил, но оно хочет управлять даже настройками почтового сервера... Можно конечно все эти мегаплюшки просто игнорировать, но воевать с менеджером учёток за то чтобы он делал только нужную мне работу я не хочу. -- Zivios -- издалека похоже на то, что нужно (управление LDAP, Kerberos, DNS, Samba), но практически ничего невозможно найти по опыту реального использования этой штуки не то что на русском, а даже на английском языке. Плюс отсутствие большого вендора (ala RedHat) за спиной внушает опасение за дальнейшую судьбу проекта.
P.S. sorry за копию в личку (сто лет в рассылку не отвечал)