Fórum Root.cz

Hlavní témata => Software => Téma založeno: jn 07. 11. 2010, 22:11:27

Název: Centralizovaná správa účtů
Přispěvatel: jn 07. 11. 2010, 22:11:27
Ahoj,
viete niekto o SW, ktory by umoznil centralizovane, z jedneho servera menit a nastavovat uzivatelske ucty na viacerych linuxovych strojoch?

napr. by islo o pridavanie / odoberanie uzivatelskych uctov na konkretnych, zvolenych staniciach (podmnozina) alebo o centralizovanu zmenu prihlasovacieho hesla na vsetkych staniciach, kde konto existuje. popripade s moznostou fyzickeho prihlasenia sa na PC aj v pripade, ze by sietove spojenie so serverom bolo vypadnute

diiky za vsetky navrhy

Název: Re: centralizovana sprava uctov
Přispěvatel: cl1d3 07. 11. 2010, 22:37:28
ypbind? :-)
Název: Re: centralizovana sprava uctov
Přispěvatel: PCnity 08. 11. 2010, 00:07:58
Kerberos/LDAP
Název: Re: centralizovana sprava uctov
Přispěvatel: jn 08. 11. 2010, 20:54:41
ok, diky za vase navrhy. aj ked po kratkom pozreti sa na LDAP mi pripada na dost tazky kaliber
Název: Re: centralizovana sprava uctov
Přispěvatel: none 09. 11. 2010, 08:48:40
Znalost ldapu patri mezi zakladni dovednosti kazdeho zkuseneho administratora. Neni to slozite, jen se tomu staci chvili venovat. Na mnoho veci pak uz nebudes chtit pouzit nic jineho.
Název: Re: centralizovana sprava uctov
Přispěvatel: Mirek Prýmek 09. 11. 2010, 09:38:41
ok, diky za vase navrhy. aj ked po kratkom pozreti sa na LDAP mi pripada na dost tazky kaliber

LDAP je super věc. Ze začátku je z toho možná člověk trochu paf, ale pak zjistí, že to zas tak složité není a když to potom jednou nakonfiguruje (poprvé je to trochu porod...), tak to prostě běží, funguje a není co řešit.

Nicméně LDAP nesplňuje tu možnost přihlašování, když spadne spojení se serverem. To by se muselo řešit trochu krkolomně (vlastní LDAP na každém stroji + replikace ze serveru). Pokud existuje jiné řešení, docela by mě zajímalo, já ho neznám.
Název: Re: centralizovana sprava uctov
Přispěvatel: Dramon 09. 11. 2010, 11:19:20
Nicméně LDAP nesplňuje tu možnost přihlašování, když spadne spojení se serverem. To by se muselo řešit trochu krkolomně (vlastní LDAP na každém stroji + replikace ze serveru). Pokud existuje jiné řešení, docela by mě zajímalo, já ho neznám.
Jestli se nepletu, tak ve Fedoře toto řeší SSSD (http://fedoraproject.org/wiki/Design/SSSD#What_is_SSSD.3F) a v ostatních distribucích se to časem snad také objeví. Tedy pokud to tam již není :)
Název: Re: centralizovana sprava uctov
Přispěvatel: pepazdepa 09. 11. 2010, 11:54:04
Nicméně LDAP nesplňuje tu možnost přihlašování, když spadne spojení se serverem. To by se muselo řešit trochu krkolomně (vlastní LDAP na každém stroji + replikace ze serveru). Pokud existuje jiné řešení, docela by mě zajímalo, já ho neznám.

SPOF je vzdy spatne reseni :)
Název: Re: centralizovana sprava uctov
Přispěvatel: Mirek Prýmek 09. 11. 2010, 13:45:30
SPOF je vzdy spatne reseni :)

Cetralizace bez SPOF = nobelovka :)
Název: Re: Centralizovaná správa účtů
Přispěvatel: PCnity 09. 11. 2010, 21:39:17
a) Elektrina -- redudatne zdroje, samostatne fazy, priame zalozne zdroje, diesel generatory
b) Siet -- 2 switche, ethernet bonding
c) Server -- replikacia [drbd, protokol A], heartbeat

Kde vidis SPOF?

Dalsia moznost je obskurnejsia... Pouzit LDAP server ktory umoznuje pouzit samostatny backend ktory ma moznost synchronnej replikacie.
Název: Re: Centralizovaná správa účtů
Přispěvatel: Mirek Prýmek 09. 11. 2010, 21:55:03
a) Elektrina -- redudatne zdroje, samostatne fazy, priame zalozne zdroje, diesel generatory
b) Siet -- 2 switche, ethernet bonding
c) Server -- replikacia [drbd, protokol A], heartbeat

Kde vidis SPOF?

Obávám se, že původní tazatel se ptal na to, jak na jednom místě vytvářet účty pro řekněme počítačovou studovnu s dvaceti počítači. Pochybuju, že kvůli tomu bude kupovat agregát za nějaký ten milion...

------------

Nicméně jsem pro každou srandu :)) Pojďme to prozkoumat! :)

Otázkou je definice slova "failure" v SPOF. Pokud tím selháním myslím selhání libovolné JEDNOTLIVÉ transakce - např. klientovi Franta server nevrátí www stránku, o kterou Franta požádal, tak tam máš SPOF až dost (cokoliv, co není redundantní v tom jednom jednotlivém serveru - tj. RAM, CPU, motherboard,...).

Tenhle popsanej redundantní systém totiž umožní jenom to, že když Franta stránku od serveru nedostane (failure!), tak na druhý pokus už ji dostane. Bavíme se teda o tom, kolik času musí uběhnout mezi prvním a druhým Frantovým pokusem. No, v případě toho popsanýho systému to bude asi v řádu zlomku sekund (než se server s vadným CPU odstřelí od zbytku clusteru), zatímco v případě systému "zajedu pro nový server, zapojím ho a zkopíruju data" by se to mohlo protáhnout až do řádu dnů!

:))))

Název: Re: centralizovana sprava uctov
Přispěvatel: Mirek Prýmek 09. 11. 2010, 22:00:08
Jestli se nepletu, tak ve Fedoře toto řeší SSSD (http://fedoraproject.org/wiki/Design/SSSD#What_is_SSSD.3F) a v ostatních distribucích se to časem snad také objeví. Tedy pokud to tam již není :)

Záleží na tom, jak je to udělaný. Pokud je to klasický caching, tak to pro tenhle případ nepřináší nic nového oproti jednoduchému nscd. Problémem tam jsou "false hits" - nebo jak se tomu říká - prostě že nějaký záznam v centrálním úložišti smažu, ale stanice si ho bude pořád brát z cache dokud nevyprší TTL.

Název: Re: Centralizovaná správa účtů
Přispěvatel: Mirek Prýmek 09. 11. 2010, 22:01:29
a) Elektrina -- redudatne zdroje, samostatne fazy, priame zalozne zdroje, diesel generatory
b) Siet -- 2 switche, ethernet bonding
c) Server -- replikacia [drbd, protokol A], heartbeat

Kde vidis SPOF?

Nicméně, abych byl přesnější: Kde vidíš centralizaci? :)))
Název: Re: Centralizovaná správa účtů
Přispěvatel: PCnity 09. 11. 2010, 22:25:33
a) Elektrina -- redudatne zdroje, samostatne fazy, priame zalozne zdroje, diesel generatory
b) Siet -- 2 switche, ethernet bonding
c) Server -- replikacia [drbd, protokol A], heartbeat

Kde vidis SPOF?

Nicméně, abych byl přesnější: Kde vidíš centralizaci? :)))

Kerberos/LDAP :) Centralizacia spravy uctov.
Název: Re: Centralizovaná správa účtů
Přispěvatel: Mirek Prýmek 09. 11. 2010, 22:40:16
Kerberos/LDAP :) Centralizacia spravy uctov.

A backend má kde? Buď na jednom místě, potom toto místo je SPOF, nebo na více místech (raid, replikace, drbd, ocfs, gfs, ...) a potom to není centralizované.

Ale už bych toho slovíčkaření a vtipkování nechal :)
Název: Re: Centralizovaná správa účtů
Přispěvatel: smajl 10. 11. 2010, 04:57:18
Kedze 'diiky za vsetky navrhy', tak tu uvediem aj jedno komercne riesenie od CA (http://supportconnectw.ca.com/public/etrust/etrust_dir/infodocs/etrustdirr81.asp) (nekamenovat za to, dakujem) eTrust Directory - multiplatformove riesenie zalozene na LDAP s podporou replikacie (nalogovanie je mozne aj po strate spojenia so serverom), synchronizacie (zmena na 1 serveri sa prejavi aj na ostatnych)... Zial absolutne nemam pojem o cenach za produkt
Název: Re: Centralizovaná správa účtů
Přispěvatel: none 10. 11. 2010, 10:53:20
Tak to jeste zvaz toto:
OpenLdap, 389 directory server (http://directory.fedoraproject.org/) a z nej vychazejici Red Hat Directory Server resp. CentOS Directory Server. Osobne jsem z techto kandidatu vybiral a vyhral OpenLdap. Vsechna reseni krom OpenLdap me odradila tim JAVA interfacem a nepresvedcila me zadnou funkcionalitou, kterou obsahuji. Pouzivam OpenLDAP s modulama refint, memberOf, syncrep a par dalsich. Tim, ze pouzijes neco schovaneho za java xichtem se pripravis o tu moznost rozumnet tomu od zakladu. Tyhle produkty jsou urceny pro nekoho, kdo tomu rozumi aby si usnadnil praci. Moc se na tom nenaucis (krome klikani).

Jo a pouzivam N-Way (kde N=4) mulimaster replikaci (kazdy klient muze cist a pripadne zapisovat na kterykoliv nod). Je to centralizovane reseni nebo ne :)? Rekneme ze je to  distribuovane centralizovane reseni :).
Název: Re: Centralizovaná správa účtů
Přispěvatel: PCnity 10. 11. 2010, 12:02:52
None dobre radi!

A centralizacia spravy uctov to je, nech si hovori kto chce co chce. To ze to ma distribuiovane neznamena ze to nie je centralizovane ;) Tie termy si neodporuju.
Název: Re: Centralizovaná správa účtů
Přispěvatel: Mirek Prýmek 10. 11. 2010, 14:04:33
To ze to ma distribuiovane neznamena ze to nie je centralizovane ;) Tie termy si neodporuju.

A já jsem si vždycky myslel, že co je distribuované, to je decentralizované. Nebo že by si termíny centralizované a decentralizované taky neodporovaly?

:)))

V tomhle tématu je ale sranda! :)
Název: Re: Centralizovaná správa účtů
Přispěvatel: PCnity 10. 11. 2010, 14:28:55
Lenze tu sa miesaju jablcka a hrusticky ako by fyzikarka povedala...

Centralizovana sprava uzivatelov -- pomocou ditribuovanej sluzby :)
Název: Re: Centralizovaná správa účtů
Přispěvatel: Ivan 10. 11. 2010, 17:21:31
a) Elektrina -- redudatne zdroje, samostatne fazy, priame zalozne zdroje, diesel generatory
b) Siet -- 2 switche, ethernet bonding
c) Server -- replikacia [drbd, protokol A], heartbeat

Kde vidis SPOF?

Dalsia moznost je obskurnejsia... Pouzit LDAP server ktory umoznuje pouzit samostatny backend ktory ma moznost synchronnej replikacie.

SPOF je LDAP client z openldap-u. Ten pokud navaze TCP spojeni s primarnim serverem,
tak uz se nikdy nepokusi pripojit na slave, bez ohledu na to jestli primary LDAP server
odpovida nebo ne.
Název: Re: Centralizovaná správa účtů
Přispěvatel: PCnity 10. 11. 2010, 17:34:58
Lenze IP adresa primarneho servera sa premigruje... To je pre LDAP len reset spojenia a nadviaze nove.
Název: Re: Centralizovaná správa účtů
Přispěvatel: jn 10. 11. 2010, 20:32:50
jeej, tu sa to rozbehlo :)

myslim moja potreba by bola centralizovana sprava (kvoli lahkej manazovatelnosti: zmeny hesla, pridania uctu, odstranenia uctu) + k tomu replikacia, aby bola zachovana moznost fyzicky sa nalogovat aj v pripade docasnej straty sietoveho spojenia (zle pocasie v kombinacii s wifi napr.)

nemalo by to byt tazke nejakym sposobom skombinovat: napr. LDAP + demon na PC ktory by pomocou LDAP periodicky checkoval nastavenie na serveri a nastavoval na PC
Název: Re: Centralizovaná správa účtů
Přispěvatel: Mirek Prýmek 10. 11. 2010, 20:50:07
nemalo by to byt tazke nejakym sposobom skombinovat: napr. LDAP + demon na PC ktory by pomocou LDAP periodicky checkoval nastavenie na serveri a nastavoval na PC

Napr. LDAP+nscd. Ovsem ma to ten problem, co jsem psal vys.

Nebo LDAP na centralnim serveru s replikaci na stanice.