Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Hever

Stran: [1]
1
Desktop / Re:Jak přizpůsobit systémové menu v Ubuntu 24.04?
« kdy: 18. 09. 2024, 10:09:19 »
Nazývá se to Quick settings panel.

Mě na tom panelu vadila jiná věc, takže jsem se po nějakém čase odhodlal to prozkoumat to - mě se nelíbila taková přílišná "ukřičená" barevnost / kontrastnost. Tak jsem si udělal změnu, kterou jsem popsal tady: https://ubuntuforums.org/showthread.php?t=2500930&p=14205631#post14205631

Na možnost skrýt (oddělat) tlačítko jsem ale cestou při zkoumání narazil v rozšíření [QSTweak] Quick Setting Tweaker - https://extensions.gnome.org/extension/5446/quick-settings-tweaker/

Odstranit tlačítko by možná šlo také pomocí css,

2
Ve firmách i pro osobní účel jsem si rozjížděl DokuWiki. Jestli existují lepší wiki, nevím. Non-tech lidi by se s vytvářením stránek mohli trochu prát, nevím, mě vyhovuje (i middle-tech lidi si s tím vždy poradili).

Jestli je řeč i o soukromých poznámkách, tak na ty mám https://standardnotes.com/. Spojitost s wiki to má takovou, že si  tady obvykle kumuluji všelijaké textové poznámy ze kterých pak v nějakou chvíli tvořím stránku na wiki, samozřejmě pokud je to potřeba.

3
Server / Re:Čím nahradit GMail na vlastní doméně?
« kdy: 26. 01. 2022, 15:25:58 »
Mě taky zatím nedošel žádný email. Současně, co jsem se proklikal přes administraci, jde tam kdesi vyplnit nějaký dotazník pro ty co využili méně než 10 licencí, že GSuite nepoužíváš pracovně, ale soukromě a zavání to tím, že ti dají nějakou "nabídku na míru". Vyplňovat jsem to nezkoušel.

Mám G Suite legacy free edition na 2 doménách a nepřišel mi žádný mail o tom, že mě převádí na placenou verzi. Ta změna se týká všech?

4
Server / Re:Čím nahradit GMail na vlastní doméně?
« kdy: 26. 01. 2022, 11:28:49 »
Google tímto zpoplatněním otevřel zajímavé téma. V podstatě o google exitu přemýšlím dlouhé roky, jsem na něj připravený, ale doteď nepřicházel ten impuls to udělat, až teď. Tak se aspoň ukáže, jak moc tam jsem zadrátkovaný (resp. má rodina). Tady ten GSuite prozovuji od té doby, co to zavedli, takže dlouho. Až si tím projdu, získám zkušenosti a aspoň vyvedu z pasti google i firmy v okolí, které se do google také namočily.

Poznatky z toho co pročítám diskuze a zlehka ověřuji a vidím, že tady ještě pořádně nezaznělo...
  • Ty mé stávající google vydrží, zruším "jen" placený workspace, takže gmail, kalendář a (předpokládám) disk a dokumenty. Jinak ty účty tam můžou žít dál s tím co se na ně někde jinde navázalo - tedy je potřeba to správně vyklikat v administraci.
  • Zoho nemá ve free verzi IMAP
  • Zásadním parametrem pro výběr jiného emailového řešení bude antispam
  • Past pro uživatele gmailu, když uvažují o tom, že se někdy přesunou jinam je používání štítků - kdo si dává na email pět štítků, tak po přesunu kamkoliv jinam najde tento email uložený petkrát v pěti "adresářích" - a bude se divit, proč 1GB pošty na gmailu má najednou těch GB víc

Od google mám tendenci odejít právě proto, že si často dělají co chtějí, všelijaké služby pohřbívají, mění podmínky, atp. Také je tady snadné sklouznout k vendor lock-inu, když si člověk nedává pozor. Potom také je to provozováno docela daleko a chtěl bych teď raději zvolit lokální řešení, tj. něco co se provozuje v ČR a provozují to našinci. Diskutující (nemyslím jen na root.cz) mají tendenci přecházek k řešením od Microsoftu nebo Apple, ale to vnímám, že je z pasti do pasti. Opět jakási globální korporace. Dále se často zmiňuje seznam, což by mohlo být pro našince vhodné řešení. Ale zase, nic nebývá zadarmo a migrovat sem, aby člověk zanedlouho zjistit, že "zadarmo" také konči a člověk si zase bude muset zvykat jinde... Nejraději bych zvolil v rozumné výši placenou službu, kde bych se mohl cítit jako zákazník.

Provozovat si mailserver sám se mi až tak moc nechce. Na VPSce mě celá řada věcí beží, ale přeci jen, vnímám je tak, že se o ně starám jen nahodile a když by náhodou něco spadlo a já pár dní neměl čas se tomu věnovat, tak se nic neděje. V tomto ohledu je pro mě emailová služba v jiném šuplíčku, nerad bych aby mě potenciálně zmizela emailová schránka ze světa jen proto, že prostě jsem teď pár dní pod stanem s dětmi a nehodlám se vrtat ve své VPSce. Mimo to si myslím, že dobře to nastavit to chce docela dost úsilí a dlouhodobě seriózně to provozovat, bez občas prosezeného večera nad tímto tématem, to chce zkušenosti.

Takže mě vychází přejít na nějaký lokální mail hosting u některé hostingové společnosti (Asi bych se první díval na wedos, vashosting a forpsi, ale třeba se najde někde něco jiného; nebo ten seznam.cz). Tady ale může být problém se zmiňovaným antispamem - vrátit se do časů, kdy jsem mazal pár spamů denně se mi nejak prostě nechce. Máte někdo zkušenosti jak jsou na tom reálně tyto služby u hostingových společností v ČR?

5
Takže notebook mimo firmu nezazálohuješ.

Tak jiste, zalohovani po uplinku ADSL, kdyz pripojim stroj doma na wifi, je urcite dobry napad. Sice to teda na dve hodiny zabije pripojku, ale to nevadi.

Jednak tedy půjde v reálu (až na vyjímky) vždy o velmi malé množství dat. A jinak myslím, že raději ať je vytížená linka, než aby nebyly zálohy.

6
Bys řešil nebo opravdu řešíš?
Používá se víc programů, tento vypadá nejlépe, takže bude nasazený všude, kde bude potřeba.

Centrální backup je pro menší počet strojů velice užitečný, roky používáme backuppc. V noci si backuppc stroje přes WOL zapne, zazálohuje, vypne.
Takže notebook mimo firmu nezazálohuješ.

Užitečných je mnoho věcí, tato si ale s sebou tahá zbytečnou přítěž v podobě závislosti na DNS+DHCP. A má svá omezení (LAN).

7
Co Kerberos? Windows se umí, krom připojení do AD domény, také připojit do čisté Kerberos domény. A získané Kerberos tickety pak umí používat dále o věřovat se s nima třeba i proti CIFS serveru.
V tomto případě je jen třeba každý počítač nastavit, že když se k němu přihlásím s Kerberos UPN x@FIRMA.CZ, že to má pochopit jako přihlášení lokálního uživatele y (jde mapovat víc UPN na jeden lokální účet).
Pak místo AD můžu mít lidi sjendoceno přihlšování v Kerberos serveru, proti kterému ověřuji všechno další, co mám po firmě. A na Kerberos server na což mám tunu možností (holý kerberos server v několika variantách, FreeIPA, ale třeba i Samba4...).
V tomto režimu mám jen řešeno to centrální jméno/heslo. Vše ostatní si musím pořešit nějak jinak.
Nepoužívám v praxi, nakonec jsme šli cestou, že komply lidí jsou v AD dělané Sambou 4 (několik replikujících serverů, včetně read only replik v DMZ). Tím pádem na woknech klasický AD login a na vše dál už Kerberos ticket odvozený od toho AD loginu.
Win stanice se dálkově spravují pomocí Novell ZenWorks, jako další varianta k GPO (ale to je také na pár věcí použito)...

Díky za podnětnou odpověď, škoda že nepřišla už před nekolika měsíci. O kerberos-only windows autentifikaci jsem neměl ponětí.

V popisovaném řešení by pak na všech sytémech byly uživatelské jména ve tvaru uživatel@nejakadomena.cz?

Rád bych vystrčil DC ven do internetu, ale dočítám se, že to není úplně dobrý nápad (MS asi tuší, jak jsou ty jejich řešení děravé, tak to nedoporučuje). Zkusím pohledat něco k těm read-only DCčkúm v DMZ.

8
Jak se tam mrkne centrální backup server? Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?

Osobně chci ve firmě mít nad IP adresami kontrolu. To samozřejmě nevyžaduje DC, o tom vůbec nemluvím.
Mrknání backup serveru nebude probíhat při správně nastaveném prostředí. Backup by měl být push, nikoliv pull. Domrkne ve vašem setupu backup server i na počítač, který bude na dvoutýdenní služební cestě někde mimo (občas na internetu)? Méně přísná pravidla firewallu bych řadil do nastavení dle nepříčetného managementu.

A ted schvalne, kdyz to zkombinuji s tou obezlickou (ulozeni user/pass v profilu) pro pristup na netshare. Dojde k nejtypictejsi situaci - reset hesla. Jakym zpusobem provedete aktualizaci zmeneneho hesla?
Asi teď nerozumím, proč by se mělo heslo vyresetovat. Jestli odpovídám na dotaz nebo ne nevím, ale uživatel své LDAP-heslo zná (případně zná vyresetované heslo), tak si ho tam zadá (a nechá ho případně uložit do kredence).

Jinak backup bych řešil úplně jinak. Běžný zaměstnanec nechť píše všechno do systémů, na svojem počítači ať má jen nějaká svá dočasná data (své zálohy a cokoliv), to zálohovat nebudu. A vedoucí pracovníci by u sebe měli nějakou aplikaci, která by po nějakém kanále zálohy/synchronizace prováděla (teď by to byl asi Synology cloud station, protože na file server používám právě synology).

9
Jak se tam mrkne centrální backup server? Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?

Osobně chci ve firmě mít nad IP adresami kontrolu. To samozřejmě nevyžaduje DC, o tom vůbec nemluvím.
Mrknání backup serveru nebude probíhat při správně nastaveném prostředí. Backup by měl být push, nikoliv pull. Domrkne ve vašem setupu backup server i na počítač, který bude na dvoutýdenní služební cestě někde mimo (občas na internetu)? Méně přísná pravidla firewallu bych řadil do nastavení dle nepříčetného managementu.

Proč se zbytečně opírat o DNS+DHCP, když to není nutné, proč zbytečně vnášet na návrhu další možnosti potenciálního selhání?

10
Jasne, na co sjednotit prihlaseni do jednotlivych sluzeb pres LDAP, kdyz pak budeme oddelovat jednotlivy sluzby oddelenym autentifikacnim seznamem. I email je sluzba, databaze je sluzba...
Myslím jsme se nepochopili. Seznam s uživatelskými hesly by měl být jen jeden.  Mluvím o obezličce, že by šlo zařídit i to, aby se uživatel po přihlášení do svého profilu na počítači nemusel přihlašovat na CIFS (neboli SMB neboli sdílení windows neboli file server). Nebo jen jednou, prostě by si jeho uživatelský profil na jeho počítači heslo zapamatoval.

11
Já tedy nevím, ale mě věci jako
- instalace tiskáren a aktualizace ovladačů pro tiskárny
- nastavení firewallu
- instalace/aktualizace softwaru ze sítě
- přesunutí uživatelských složek (dokumenty, obrázky...) na síť kvůli zálohování
- mapování síťových disků
- nastavení prohlížeče (IE, Chrome)
- instalace doplňků do prohlížeče (Chrome)
- asi miliony dalších nastavení podle potřeby

přijdou jako užitečné a určitě kvůli tomu nehodlám obíhat jednotlivé počítače jako magor.
Instalace tiskáren - ano, to je užitečné, na to jsem zapomněl, díky za připomenutí. Ale to se řeší přes print server a nejsem si jistý, jestli je k tomu všemu AD nutné.

Ostatní zmíněné věci spadají do kategorie "nastaví se při zprovoznění", nebo "bizardní požadavky nepříčetného managementu". V případě šíleného managementu je pak AD samozřejmě dobrým pomocníkem v dláždění cesty do pekel, ale připomínám, že případ, kdy AD není nutné nasazovat tímto neduhem netrpí. Taky jak, jsem zmínil, počítače patři konkrétním zaměstnancům. A těm, světe div se, nedělá problém si například nainstalovat nový doplňek do prohlížeče.

Obíhat počítače je samozřejmě nesmysl. Jde ale o to, jaký si člověk na se ušije bič.

Co je na tom? Raději mám skripty než 40 screenshotů a popiskem kam dál kliknout.

Nějak nevím, k čemu jsou ty screenshoty. GPO se dá zálohovat a kde je které konkrétní nastavení té GPO je vidět v GPMC.
Měl jsem tím spíš namysli, že na skriptech obecně nevidím nic špatného. Když něco nastavuji, tak buď skriptem, nebo vyklikáváním sledujích jeden screenshot po druhém kam mám kliknout - takto vypadá běžný návod od Microsoftu, screenshoty. S tím jsem se setkal i u group policy - chci něco nastavit a Microsoft mi nabízí 20 screenshotů jak se někam dokliklat, a jak to tam pak vyklikat. Pro lepší systém člověk v takových situacích obvykle najde jednořádkový příkaz/skript.

12
...hadzes druhym ludom pri ich praci polena pod nohy. Vid prihlasovanie a odhlasovanie na fileserver. Na co vymyslas koleso, ked presne na to, aby si takymi hovadinami nemusel otravovat pouzivatelov, vzniklo prihlasovanie do domeny.
Nesdílím tvůj názor. Co je na tom se na file server autentizovat zvlášť. Je to určitá služba. Ostatně se to tady už rozebíralo. Mimochodem, kromě MS sdílení nenajdeš snad místa, kde by ses nemohl přihlásit a odhlásit. U MS to zadrátovali do přihlášení do systému, odhlásit se není možné.

Jinak jak jsem psal - uživatele bych tímto zbytečně neotravoval, jejich autentizaci by si pamatoval (onen pochybný) windows credential, takže z jejich pohledu žádná změna.

Co tyka CAL-ov, neonanuj nad tym, proste to vycisli a spytaj sa nadriadeneho, ci je to OK s jeho rozpoctom a ci to ma vobec zmysel riesit.
O CALech se tu zmiňují spíše ostatní než já. U CALů vidím víc problém v tom, že té licenční politice snad nejde nikdy zcela dostát, než v tom to zaplatit. Lituju těch lidí, co tráví své životy řešením nevyřešitelných licenčních MS předpisů. Já to být nechci a široko daleko neznám nikoho, kdo by se tomu chtěl věnovat. Ano, jde to vyřešit "nějak" a pak si s rukama přes oči nalhávat, že je to ok. Děkuji, nechci.

Vadilo by mi, kdybych neznal IP adresy počítačů v síti a nemohl na ně vzdáleně přistupovat. Jak bys řešil vzdálenou podporu, centrální zálohování? I v naší minisíti se správce občas potřebuje přihlásit na stroj uživatele (samozřejmě linuxový).
Správce a občas? Správce se mrkne do DHCP Leases na přidělenou IP adresu a ví všechno co potřebuje vědět.

13
Prave ze GPO je to, co je hlavni vyhoda DC
To slýchávám často, pak na to dávám otázku - v jakých konkrétních scénářích mi může být GPO užitečné? Obvykle jsem se dozvěděl, že k nastavení nějakých bizardních pseudobezpečnostních nastavení (když nepříčetný management firmy požaduje podivné věci) nebo k eliminaci různých následků spojených s nasazením AD. Potom může být užitečný k přejmenování počítače a nastavení písmenka jednotky k file serveru. Nic, bez čeho bych se neobešel, vše se dá nastavit při uvedení stroje do provozu. Při změně uživatele (zaměstnanec končí, počítač dostává jiný) stroj stejně prochází rukama správce, takže ta nutnost dělat to vzdáleně myslím není. Ale zajímá mě to, k čemu užitečnému se dá GPO využít?

Vy tady porovnavate situaci se statickym nastavenim, jenze doba, kdy neco takoveho bylo na X let, je minulosti.
Spravujete nějaké menší sítě nebo velké akademické? Jakou síť máte namysli, když píšete, že "statické" nastavení sítě už není dnešní..?

To jako na vse se budou pouzivat login scripty a modifikace registru pres skripty?
Co je na tom? Raději mám skripty než 40 screenshotů a popiskem kam dál kliknout.

A jak treba zajistite aktualizaci nastaveni ve chvili, kdy stanice neni pripojena k siti ve chvili prihlaseni?
A jak mi v tom pomůže AD, když počítače jsou prostě mimo síť?

Jinak aktualizace na klientovi by buď neměly být potřeba (používáme webové aplikace, nebo binární soubory jsou file serveru) nebo by se o to měl postarat samotný program (zkontroluje si dostupnou aktualizaci a případně ji spustí).

14
Chtěl bych sem zareagovat ještě s odstupem času.

Na hlavní otázku bych tady pro budoucí generace si dovolil zanechat odpověď: I při větším množství počítačů ve firmě není nutné zavádět Active Directory.

Z názorů prakticky všech ostatních v této diskuzi to nevyplívá, ale tedy je potřeba poukázat na fakt, že ti, kteří zde odpovídají mají s AD vesmě velké zkušenosti, ale nikdy o jiné možnosti neuvažovali. Je to jako ptát se zedníků, jestli je lepší dům z cihel nebo dřevostavba.

Ti, kteří AD zavedou bývají buď ti, pro které to opravdu má smysl (školy, velké instituce, korporativistické společnosti, nebo ti co jsou zadrátovaní na Microsoftím OS, ať už obchodníchh/licenčních ohledů nebo hromadou jiného špatně navrženého SW), nebo ti, kteří zjistili, že potřebují něco jako LDAP a spolkli marketing Microsoftu.

Typicky školy využívají uživatelské stanice jako pouhý hloupý prvek v systému, desítky/stovky počítačů mají z pohledu administrátora naprosto totožný význam a vše je nejlepší řešit centrálně. Domovský adresář pak leží někde na serveru a na každém počítači uživateli najíždí stejné prostředí. Kolem toho je pak nutné vybudovat rozsáhlou administrativu, síťové vybavení, havarijní scénáře, zaměstnat několik správců, atp. V těchto případech je potřeba zvolit jaký OS se bude používat a v případě, že vyhraje Microsoft Windows (dnes skoro vždy), tak se nasazuje AD.

Potom je ale spousta případů, kde naopak AD vůbec nutné není. Dnešní menší firmy často nemají díky používání webových aplikací vytvořený vendor lock-in (závislost na dodavateli) k Microsoftu, uvědomují si široké možnosti i jiných zařízení, než je počítač s Windows (zmiňme především smartphony, tablety), takže se i na desktopu nebojí třeba PC od apple, nebo linuxu. Jejich zaměstnanci dále třeba nejsou přikovaní na jednom místě (tedy v rámci jedné LAN) a především i třeba při stovce zaměstnaců/počítačů je zde řada rozličných oddělení (desítky), která mají vždy svá specifické potřeby, takže se všechno stejně nakonec řeší jednotlivě. Věšině lidí se poskytne volnost si svůj počítač spravovat sami (instalovat programy...). Počítače nejsou anonymní, naopak každý zaměstnanec má ten svůj, který používá nejenom jako hloupý terminál, ale prostě jako počítač (třeba si tady stahuje nějaké soubory z internetu se kterými, zálohuje fotky z mobilu, a já nevím co). V této situaci může být AD (tedy LDAP + DC) nadbytečný, přinášející zbytečné komplikace.

Jak jsem psal, mnoho firem zjistí, že potřebují LDAP a tak nasazují AD. LDAP je prakticky nutné nasadit, pokud se používá větší množství nezávislých systémů a tak v každém systémů vzniká další a další seznam uživatelů, jejich hesel a oprávnění. To všechno se pak musí spravovat, dochází k redundancím a z toho plynoucím chybám a uživatelé mají spousty loginů a hesel. To umí LDAP sjednotit - jeden seznam, jedno heslo, jednou uvedená příslušnost do skupiny. Zaměstnanec přichází, odchází - pracujeme s jedním seznamem. Neznamená to ale potřebu vytvářet AD.

AD je LDAP + DC. LDAP je užitečné. DC ne vždy. Navíc DC přináší velké množství komplikací, které se snaží překrýt "výhodami", které přináší. Tyto "výhody" jsou ale vesměs jen řešení problémů, které vznikají když nasazujeme DC. Když DC nenasazujeme, tyto problémy nevzniknou. Řeč je hlavně o group policy. Dovoluji si říct, že se bez ní dá velmi dobře obejít - pak záleží jak moc bizardně máme navržené všechny možné SW a file servery ve firmě. Pokud jsme to navrhli dobře (jeden file server, SW nevyžadující akci správce počítače k aktualizaci), tak jednou počítač nastavíme a funguje.

Jak by tedy mohl vypadat klientský počítač bez DC? Není v doméně, máme zde lokální administrátorský účet (s heslem známým jen správcům), účet uživatele, který počítač používá (uživatel si účet zahesluje), na file server se dostane pod svým LDAP-účtem (na počítači s jedním uživatelem mu toto heslo můžeme uložit a přístup k datům, které vidí na file serveru si uživatel hlídá svým na svou zodpovědnost heslem do windows), do ostatního softu taktéž. To je vše.

Bez AD pak mají servery a tiskárny své pevné IP (což mi přijde dobrý nápad tak jako tak; definovány buď staticky nebo třeba na routeru, který obstarává DHCP), v místním DNSku (na routeru) jim případně můžeme (ručně) přiřadit jméno. Uživatelské stanice jsou uživatelské stanice, ne servery, takže nepotřebujeme řešit, že DNS nezná od DHCP jejich IP, atp. - prostě nikdo na uživatelské stanice nepřistupuje. U jiných zařízení, u kterých je vhodné mít buď pevnou IP nebo jejich pojmenování pak myslím davají smysl jiné VLANy a řešit to odděleně (kamery, čtečky, Voipy, odkapávače,...). Integrace DNS a DHCP v AD podle jen něco navíc pro bizardní setupy.

Na závěr dodám, že problém, který měla má firma před sebou se nakonec řeší pomocí AD (jedna windows doména; Samba4; bez DHCP). A to proto, že jsme dokázali sehnat člověka s velkými zkušenostmi s AD (správce na univerzitě), který nám s přislíbil s mnoha důležitými věcmi pomoct. Ale i tak, taková hromada předem nedefinovatelných problémů, co jsme museli a musíme řešit (především teď při procesu přecházení; a to jsou problémy, které ani zkušený AD harcovník nezná) a vidina všech těch problémů, které nepominou, ale budou s námi stále (a každé další dislokované pracoviště zase hromadu problémů přinese), z toho všeho si říkám, že jsem se nechal ukecat...

Stran: [1]