Centrální správa mixu operačních systémů

Centrální správa mixu operačních systémů
« kdy: 30. 01. 2023, 10:05:44 »
Ahoj, dumám nad otázkou, správou prostředí, kde je mix OS.

Jsem zvyklý na to, že firma má zaměstnance kteří běží čistě Windows na desktopech. Tam je to jasné a to nastavit Active Directory a spravovat uživatele profily atd. z AD.

Ale jak toto řešit v případě mix OS na desktopu ? Windows/MacOS/Linux ?

Udělat si LDAP server ?
Nejčastěji co potřebuji je centrální správu uživatelů pro přiřazení skupin na file sharech a podobně.

A další otázka, jak řešíte více správců na Linux serveru. Čistě na všech strojích zakládáte uživatele s SSH klíči nebo máte něco podobného jako je AD ?

Potřeboval bych nasměřovat na nějakou myšlenku jak si toto usnadnit.

Je mi jasné že hned přijde odpověď, že se k linuxu nemám chovat jako k Windows, jen dumám nad tím jak si co nejvíce ulehčit práci.

Děkuji Vám za odpovědi.
« Poslední změna: 30. 01. 2023, 11:49:12 od Petr Krčmář »


Re:Mix OS jak na správu ?
« Odpověď #1 kdy: 30. 01. 2023, 11:41:48 »
AD vie NIS, (2008 potrebovali doinstalovat unix extensions, aktualne neviem na AD som nastastie uz davno nesiahol).

Alebo pouzit freeipa a vytvorit s AD forest.

K sprave (toho co nevie freeipa) pouzit puppet alebo ansible.

Re:Mix OS jak na správu ?
« Odpověď #2 kdy: 30. 01. 2023, 11:48:22 »
Pokud je to firma o 5ti pocitacich tak je to jedno, pokud se bavime o stovkach stroju tak potrebujes nejakou formu AD (vicero moznosti dle tvych pozadavku, preferenci, ceny,…) ale realne prijdes na to, ze mit heterogenni prostredi ve kterem mas dvacet ruznych linuxu, 5 ruznych windows a 2 ruzne macos je z pohledu administrace neefektivni a leze to do penez. Pokud vlastnici firmy nejsou miliardari kteri chteji byt milionari tak obvykle nastane faze sjednocovani technologii a na to, ze franta chce svuj alma linux sete pes a dostane klasicke korporatni reseni (at je jakekoliv).

Re:Centrální správa mixu operačních systémů
« Odpověď #3 kdy: 30. 01. 2023, 12:22:01 »
Pro upřesnění, pokud je to firma o víc jak 100 lidech je jasné že se nasazuje AD a většina desktop je Windows.


Spíš mám případ, kde je malá firmička typicky 10-20 lidí, kteří jsou například designéři, návrháři no zkrátka tvůrci.
U této firmy je cílem povětšinou jen centrálně spravovat uživatele kvůli právům na zmíněné file shary, ověřování VPN proti radiusu.


Jde o to, že tato firma jistě nezaplatí řešení Microsoft a má většinou Windows / MacOS stanice a proto přemýšlím o něčem free.

Re:Centrální správa mixu operačních systémů
« Odpověď #4 kdy: 30. 01. 2023, 12:37:04 »
Free reseni se obvykle rovna x hodin prace s konfiguraci aby to nejak chodilo… u placeneho reseni typu windows server zaplatite za licenci min nez kolik vas v case vyjde konfigurace free reseni (tedy pokud neuctujete 30kc/hod). Pokud firma neni ochotna/schopna zaplatit treba tech $1000 tak jakou mate jistotu ze budou platit za vasi praci? Budete se drbat s nejakym nestandardnim resenim sam zatimco kolegove budou resit veci ve standardnim reseni? Z mych zkusenosti, kdy jsem migroval firmy z windows na linux abych je o x let pozdejc migroval na windows mohu rict ze nic jako free reseni neni a firma pokud chces fungovat potrebuje podporovane reseni ktere umi nekdo spravovat. One man show je riziko pro vas i pro firmu. Coz neznamena ze to reseni nemuze byt open source, ale v situaci kdy mate rekneme 9/10 zakazniku windowsovych tak resit pro jednoho zakaznika nejake free reseni je komercne nesmysl, prodelate na tom ve forme casu.


Re:Centrální správa mixu operačních systémů
« Odpověď #5 kdy: 30. 01. 2023, 13:03:41 »
Vyzkoušej Intune od Microsoftu.
Je to pro malé, ale i velké, a i hybridní prostředí vč. BYOD.
Možná můžeš i mít nějakou trial verzi.

Jinak je to ale otázka zda mít takovýto systém pro 20 uživatelů, protože pořizovací cena, i kdyby byl zadarmo, nebude vše co bude muset ta firma platit. A to se tedy hlavně bavím o běhu a údržbě samotného systému, monitoringu a vyhodnocení událostí apod. = tvoji práci, což klidně bude dělat 10-15 tis. měsíčně.

Sám jsem hledal, a i našel, ale nakonec jsem dospěl k tomu, že nejlepší je pravidelně fyzicky v takto malé firmě být viděn, než se schovávat za systém který někdy falešně majitelům vnucuje myšlenku, že všechno běhá samo, a že ten IT technik kterého nikdo už tři měsíce neviděl, protože všechno funguje, je zbytečný a že v podstatě nic nedělá, maximálně řekne "restartujte PC" a nebo ťukne na Enter.

Re:Centrální správa mixu operačních systémů
« Odpověď #6 kdy: 31. 01. 2023, 21:32:41 »
Přiřazení skupin na file sharech...
a kolik těch sharů bude? Na kolika fileserverech? Jaký OS na těch file serverech?
Jestli to nakonec neřeší /etc/passwd + /etc/group + /etc/samba/smb.conf .

Mimochodem jabko je sajrajt jak všude cpe ty svoje tečkové soubory.

_Jenda

  • *****
  • 1 605
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Centrální správa mixu operačních systémů
« Odpověď #7 kdy: 31. 01. 2023, 22:59:35 »
Přiřazení skupin na file sharech...
a kolik těch sharů bude? Na kolika fileserverech? Jaký OS na těch file serverech?
Jestli to nakonec neřeší /etc/passwd + /etc/group + /etc/samba/smb.conf .
Já bych doporučil použít ACL, protože skupiny jsou přes ruku když chceš prostě říct "Franta může sem, sem a sem". setfacl -Rm default:user:franta:rwx /srv/samba/foo

Nemůže mít tazatel uživatele lokální (sdílí se v dnešní době nějak masověji počítače?), Sambu jak jsi právě napsal a VPN záleží na řešení, ale typicky to umí nějakou externí autentizaci, případně OpenVPN má certifikáty atd.

SSH má taky certifikáty, případně jsou moduly do PAMu, případně se dá nastavit arbitrary skript na ověření klíče, ale já bych klidně distribuoval authorized_keys rsyncem :)
« Poslední změna: 31. 01. 2023, 23:02:27 od _Jenda »

_Jenda

  • *****
  • 1 605
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Mix OS jak na správu ?
« Odpověď #8 kdy: 31. 01. 2023, 23:06:31 »
Pokud vlastnici firmy nejsou miliardari kteri chteji byt milionari tak obvykle nastane faze sjednocovani technologii a na to, ze franta chce svuj alma linux sete pes a dostane klasicke korporatni reseni (at je jakekoliv).
Jo, to jsem viděl u zákazníka, všichni tam měli korporátní Windows, a vývojář si třeba nosil soukromý notebook se soukromým mobilním internetem a na něm dělal skutečnou práci. A linuxové systémy ve vlastnictví korporátu adminovali přes PuTTy. Nechápu že je to bavilo, já bych se na takovou věc vykašlal.

mhepp

  • ***
  • 159
    • Zobrazit profil
    • E-mail
Re:Centrální správa mixu operačních systémů
« Odpověď #9 kdy: 01. 02. 2023, 14:15:24 »
Pokud je víc jak cca 10 lidí, tak se vyplatí postavit Sambu a LDAP pro řízení přístupu k úložišti.

Desktopy samotné... to je otázka. Můžeš mít přichystané centrální řešení pro slepičky z účetního, například bez admina/roota. K tomu Ti může pomoci ta Samba a LDAP. Ale toto má cenu řešit u více jak 100 lidí plus mínus. Znamená to náklady navíc, řešení aktualizací a centrální instalaci SW. Pokud tu někdo tvrdil, že komerční řešení vyjde levněji než OS, tak lže. Protože u obou řešení strávíš hafo času naplněním daty a údržba funkčního řešení taky stojí nemálo času a úsilí. Třeba ve firmě s cca 10000 desktopy nasazení trvalo několik let, než se obnovily veškeré desktopy za unifikované řešení, které stejně mělo problémy. To znamenalo třeba výběrová řízení s garancí dodávky stejného HW po celou dobu jeho životnosti. Pak stačí tichá revize základní desky a už se to chová jinak, takže někdo musí všechno pořád testovat...

A ani to nasazování aktualizací u Windows nebyla procházka růžovou zahradou. Každý balík aktualizací vyzkoušet, rozebrat a odstranit problémové části a znova vyzkoušet na všech typech použitého HW...

Takže pro malé skupiny bych desktopy řešil v režii dle schopností každého - pipinkám ze mzdového zakázat admina a jednou za čas je obejít s aktualizacema, shopní ať mají co zvládnou, podpora z Tvé strany „udělám to nejlepší, ale...“ a všechny pravidelně poučit že nemají instalovat bordel. Pipinky si Tě budou hýčkat, zvláště když s nimi pokecáš jestli je vše OK, ostatní budou umět příjít pro radu, takže budeš mít přehled...

Re:Centrální správa mixu operačních systémů
« Odpověď #10 kdy: 01. 02. 2023, 14:55:05 »
Pokud vlastnici firmy nejsou miliardari kteri chteji byt milionari tak obvykle nastane faze sjednocovani technologii a na to, ze franta chce svuj alma linux sete pes a dostane klasicke korporatni reseni (at je jakekoliv).
Jo, to jsem viděl u zákazníka, všichni tam měli korporátní Windows, a vývojář si třeba nosil soukromý notebook se soukromým mobilním internetem a na něm dělal skutečnou práci. A linuxové systémy ve vlastnictví korporátu adminovali přes PuTTy. Nechápu že je to bavilo, já bych se na takovou věc vykašlal.
Vy by jste se na to vykaslal, korporat diky standardizaci IT obvykle usetri prachy. A uspesnou firmu poznate dle toho ze o prachy jde na prvnim miste. Doby, kdy se neresila bezpecnost a kazdy vyvojar pouzival svou oblibenou verzi linuxu jsou pryc, dnes mate v korporatu standardizaci a admini treba spravuji linuxove servery pres putty nebo klidne i pres placene nastroje pokud to nekomu v tom korporatu dava smysl. Na to co bych chtel ja nebo vy sete pes.

_Jenda

  • *****
  • 1 605
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Centrální správa mixu operačních systémů
« Odpověď #11 kdy: 03. 02. 2023, 07:25:46 »
Vy by jste se na to vykaslal, korporat diky standardizaci IT obvykle usetri prachy.
No to jasně, já myslel jako že se na to nevykašle ten zaměstnanec. A korporát pak z toho sekundárně bude mít nízkou produktivitu a nebude mít dostatek talentů. Ale kupodivu občas to funguje a zaměstnanci rádi trpí (i když by si jako schopní programátoři jistě snadno našli místo jinde), alespoň dokud je nepřeválcuje nějaký startup.

Re:Centrální správa mixu operačních systémů
« Odpověď #12 kdy: 03. 02. 2023, 09:03:22 »
A má někdo zkušenost například se samba4 jako AD či případně s nástrojem Zentyal a jejich správou přes RSAT ?

Pokud ano budu rád za rozepsání zkušenosti  :)

Re:Centrální správa mixu operačních systémů
« Odpověď #13 kdy: 21. 04. 2023, 18:46:52 »
Active Directory na vedení uživatelů. Z Linuxu se lze proti AD ověřovat pomocí SSSD (máme nastaveno, jde to).
Pro Linux adminy řešíme distribuci klíčů přes Ansible. Tam je i definováno, kam který admin může. V případě odchodu admina lze tedy jednoduše pomocí Ansible ze všech systémů klíč zase odebrat.
MACOS také podporuje ověřování proti AD, takže uživatelé lze mít na jednom místě pro všechny tři OS a práva řešit standardně skupinami v AD.

Pokud jde např. o Zentyal, tak to je jen klikátko. A jako každé jiné klikátko vyžaduje hlubší znalost admina. Bez klikátka musí admin znát jen core, s klikátkem musí admin znát core věci a pak jak funguje celá ta grafická sranda nad tím, protože když se něco podělá, což se děje, tak by v opačném případě byl admin docela v loji.
Zdar Max
« Poslední změna: 21. 04. 2023, 18:49:55 od Max Devaine »

Re:Centrální správa mixu operačních systémů
« Odpověď #14 kdy: 24. 04. 2023, 11:35:37 »
Pokud vlastnici firmy nejsou miliardari kteri chteji byt milionari tak obvykle nastane faze sjednocovani technologii a na to, ze franta chce svuj alma linux sete pes a dostane klasicke korporatni reseni (at je jakekoliv).
Jo, to jsem viděl u zákazníka, všichni tam měli korporátní Windows, a vývojář si třeba nosil soukromý notebook se soukromým mobilním internetem a na něm dělal skutečnou práci. A linuxové systémy ve vlastnictví korporátu adminovali přes PuTTy. Nechápu že je to bavilo, já bych se na takovou věc vykašlal.
Vy by jste se na to vykaslal, korporat diky standardizaci IT obvykle usetri prachy. A uspesnou firmu poznate dle toho ze o prachy jde na prvnim miste. Doby, kdy se neresila bezpecnost a kazdy vyvojar pouzival svou oblibenou verzi linuxu jsou pryc, dnes mate v korporatu standardizaci a admini treba spravuji linuxove servery pres putty nebo klidne i pres placene nastroje pokud to nekomu v tom korporatu dava smysl. Na to co bych chtel ja nebo vy sete pes.
Jenže aby měla úspěšná firma prachy, musí mít spokojené zaměstnance. Problém je, že pokud nedovolíte zaměstnanci používat systém ve kterém je efektivní (kor developerovi, devops, adminovi) tak spokojený nebude, bude mít malou efektivitu a brzy Vám zdrhne...  ;)