...
AD neni nic jinyho nez windowsi LDAP. Stejne tak to ma kerbera. Jedno i druhy s tuxem snadno propojis.
Otazka spis zni, kolik tech stroju je, a jestli dava vubec smysl to jakkoli resit. U nizkych desitek stroju to vetsinou smysl nedava.
Spíš mám případ, kde je malá firmička typicky 10-20 lidí, kteří jsou například designéři, návrháři no zkrátka tvůrci.
U této firmy je cílem povětšinou jen centrálně spravovat uživatele kvůli právům na zmíněné file shary, ověřování VPN proti radiusu.
Viz vejs, dost malo na to aby davalo smysl to resit. Jinak AD ti muze (s nejakejma omezenima) delat zadarmo samba.
Ucty na share vyrobis rucne, a na VPNku rozdas/nakopirujes klice.
...ochotna/schopna zaplatit treba tech $1000 ...
Wokeni licence nestoji tisicovku ze ... potrebujes jeste CALy aby se k tomu vubec moh nekdo legalne pripojit, a to i pro kazdyho, kdo se treba zvenku pripoji na web ... A rozchodit to je taky prace, a rozhodne to nefunguje samo. Privni na cem si pak nabijes hubu bude to, ze na tech jednech widlich "zadarmo" ti pobezi vsechno. A jakmile to budes chtit resit, tak zjistis, ze ti licene stojiej v malym rozsahu desitky tisic. A M$ razantne zdrazuje a tlaci vse do rocnich plateb, takze se brezo budem bavit o desitkach tisic $ rocne.
Já bych doporučil použít ACL, protože skupiny jsou přes ruku když chceš prostě říct "Franta může sem, sem a sem". setfacl -Rm default:user:franta:rwx /srv/samba/foo
Tak toto bych doporucil nepouzivat vubec a zapomenout, ze to existuje ... v lepsim pripade pak budou widle logovat pindy na tema ze kdesi cosi je spatne s pravama, v horsim se k tomu odmitnou pripojit. Trochu sem to zkoumal a zjistil sem, ze tux tam sice vyrobi stejne zaznamy, ale v jinym poradi, nez kdyz se to udela z widli. A tem to vadi. Tudiz pokud nastavovat tak z win.
A nastavovat neco per user je zlo, ukrizovat kazdeho, kdo to nekde pouzije. Zadnym normalnim zpusobem se pak neda zjistit, kam vsude ten user vlastne muze.
... Každý balík aktualizací vyzkoušet, rozebrat a odstranit problémové části a znova vyzkoušet na všech typech použitého HW...
A ani to ve finale nestaci. Z posledni doby (letosni rok) patch AD ... prvni OK, Druhe OK ... treti ... a po restartu se vsechna ADcka zacla restartovat porad dokola.
Nebo ... to je cca mesic, mozna dva stary ... patch win 2k22 ... vmware ... restart OK ... druhy restart ... a widle uz nenabehly protoze secureboot.
Jinak receno, napadlo by te, ze to chcipne po 14ti dnech kdy uz 2/3 ADcek bezi patchly a zadny problem se nikde neukazal? Nebo ze mas po aktualizacnim restartu widle jeste prosychr restartovat ... kolikrat? 5x? A neni to malo?
Vy by jste se na to vykaslal, korporat diky standardizaci IT obvykle usetri prachy.
Ehm ... nikolivek. Typicky korporat utraci mnohem vic nez by bylo ucelne, protoze se zakazky rozdavaji vsemoznych zpratelenym firmickam, ktere zadavatele bud pozvou na nejakou tu zranici nebo mu postavi dum. Podle toho kolik $$$ obdrzi.
Par takovych znam, naprosto bezne se nakupuje HW, ktery neni potreba (videl sem treba kancelarske stroje s 32GB ram ... ), a SW ktery nasledne nikdo nepouziva.
16 Odpovědí
9606 Zhlédnutí