Lze se vyhnout Active Directory DC?

[Hever]

Zdravím, potřebuji radu.

Existuje možnost ve větší firemní síti (asi 50 uživatelských stanic) nezavádět autentizaci uživatelských stanic oproti AD DC (Active Directory Domain Controlleru, česky doménový řadič)?

Nyní je politika nastavená tak, že na počítačích běžných zaměstnanců jsou čisté instalace windows s nějakým tím antivirem nasdíleným file serverem (funguje když je počítač ve firemní síti nebo na VPN, všichni vidí to stejné). Uživatelé pak pracují s různými systémy (nějaký ten ERP, nějaké CRM, a google apps) do kterých se autentizují svým heslem. Firma se ale rozrostla a už je potřeba řešit oprávnění k jednotlivým složkám na file serveru. Pomyslel jsem si - nu což, na file server se tedy budou přihlašovat. Havaruje to ale na tom, že windows umí login na file server, ale poněkud zapomněli implementovat logout [1][2] (zdravím a posílám pěknou písničku do Redmondu).

Pokud bych měl zavádět AD DC, určitě bych se prvně snažil vyhnout všem Microsoft řešením (vendor lock-in), tedy nechtěl bych zabředávat do všelijakých možností AD a zavedl bych jen onu autentifikaci, což by mělo jít i se sambou na linuxu. Ale vůbec se mi to nepozdává a byl bych velmi štastný, kdybych se tomu mohl vyhnout.

Moje otázka teda je - řeknete mi všichni, že jsem blázen a AD autentifikace do systému je v tomto případě prostě něco nevyhnutelného? Nebo se najde někdo, kdo mě v mém osamělém boji podpoří a ukáže mi, že jsou i jiné možnosti?


TLDR;

Proč jsou na stanicích windows? Do sedmiček jsem i já windows používal (až s příchodem strašlivých osmiček jsem pochopil, že patřím na linux) a je to tak nějak zvykem. Nerad bych ale v tomto zabřednul, a mám pocit, že nasazením AD by se přesně toto stalo. Rád bych, aby se i na klientech začal postupně používat svobodný software a jednou by na něm mohlo fungovat všechno.

Proč se mi Active Directory authentication příčí? Obecně mi přijde zvrácené spojovat možnost přístupu k file serveru s přístupem do počítače. Většina stanic jsou notebooky a velmi mnoho lidí s nimi chodí mimo síť i na dlouhou dobu. Co jsem zjistil, tato politika s tím má problém. Když není k dosažení DC, párkrát se ještě do svého účtu na svém notebooku přihlásit lze, ale jen chvíli, pak je uživatel bez DC vyřízený. Co pak odpovídat na telefonáty nešťastných uživatelů, kteří se nemůžou přihlásit ke svému účtu? A co pak uživatelé s jinými OS - bastlit je taky na toto monstrum? A mimochodem, co CALy, mám pocit, že bychom se bez nakupování licencí (na co?) neobešli?

Proč je potřeba odhlášení od file serveru? Protože, myslím si, je to přece naprosto přirozená věc. Přijde za mnou kolega, bavíme se, chce mi něco ukázat, odhlásím se, on se přihlásí, ukáže, odhlásí se, přihlásím se zpátky já. Toto je podle mě normální. Nehledě na to, že někdy můžu mít kromě svého i nějaké další speciální přístupové loginy. Odhlásit se v prostředí windows od přihlášeného file serveru jde jen odhlášením se z windows sezení (alternatvině použitím nějakých příkazů, které restartují službu a ručním shozením všech explorer oken - což je nepoužitelné, nelze vysvětlit běžnému uživateli). Rozumím, že v případě s kolegou a AD DC autentifikací bych dal přepnout windows účet, kde by se kolega přihlásil. Tomuto postupu ale bez AD DC autentifikace (tedy lokální účet a pracovní skupina) alternativa není - a mít více účtů na každém klientu mi přijde jako nesmysl.

Co jsem zkoušel? Pochopil jsem tedy, že se při použití běžného "windows sdílení souborů" (což je jakási směsice postupů a protokolů, asi označovaná SMB nebo CIFS) s odhlášením nepochodím, hledal jsem, jestli windows neumí *namapovat* i jiné protokoly, u kterých by možnost odhlásit se byla. Našel jsem jen NFS, ale ani to není z různých důvodů použitelné (ne všechny windows ho umí a ty co ho umí ho ani neumí vždy správně a je snad i potřeba ultimate verze).

Jak bych to tedy asi řešil? Použít aplikaci, která umí namountovat do systému sdílené adresáře. Takové aplikace existují, když se nezabývám nešifrovanými protokoly, tak používají protokol SFTP. To samozřejmě není problém, naopak by to i krásně eliminovalo potřebu VPN pro těch pár co se připojují ze světa. Nabízí placené aplikace ExpanDrive, NetDrive, WebDrive, SFTP Net Drive - kde jsou minimální funkční i cenové rozdíly. Ve světě svobodného software existuje knihovna Dokan a například aplikace sshfs, ale vypadá to nevyladěné, vlastně mi to i při triviálních pokusech jaksi zamrzlo a nešlo s tím nic dělat ani po restartu. Když chci mít adresář namapovaný v systému a šifrovaný protokol, už nic jiného v nabídce nevidím. Takže možností jsou jen ty placené aplikace. U nich mi tedy vadí, že to není součást systému, jakási ikonka navíc na kterou si musí uživatelé zvyknout, ale problém to řeší. A taky potenciálně nejistá budoucnost, když to nemá otevřený kód - ale tak už to hold chodí.

Fakt nevyužít AD i se vším co umí? Nechce se mi do toho, nemyslím si, že to potřebujeme. DNS, DHCP umí router. Tisk řeší síťové tiskárny. Exchange se nepoužívá (google apps). Distribuovat aktualizace z jednoho místa by mohlo být ke zvážení, ale zvládneme i to i bez toho. A group policy - to už by byl, myslím, potřeba windows server a studování stovek screenshotů jak se co s tím dá dělat, a do toho se mi moc nechce (stojí to za to?).

[1] http://superuser.com/questions/883604/disconnecting-logging-out-from-windows-network-share-without-restarting-workst
[2] http://superuser.com/questions/327974/logging-out-of-a-network-share-drive-without-reboot/883606#883606

[Reklama]

[vana-hb]

U 50ti lidí bych o AD uvažoval. A jestli jsou licence tak neni co řešit protože lepší řešení neexistuje.

[j]

Co jsem zjistil, tato politika s tím má problém...

Zadny problem s tim neni. Jen potrebujes, aby se user na notesu aspon jednou prihlasil v domene, pak uz AD nepotrebuje videt.

Proč je potřeba odhlášení od file serveru

Jednak je to blbost (protoze davat svoje heslo nekomu do profilu muze leda magor) druhak si kdokoli muze mountnout cokoli pod libovolnym uctem kterej zna. Vubec se nikde nemusi odhlasovat. Proc by jako mel? Sem zvedav, jak bys resil ty uzasny situace, kdy aplikaci zmizej data pod rukama, protoze user odpojil sitovej disk ...

Co jsem zkoušel?

Zjevne samy blbosti, protoze si nezkusil ani google. NFS je vykonostni tragedie.

Jak bych to tedy asi řešil?

Resil bych to tak, ze bych najal admina, kterej ma aspon paru o tom, jak veci fungujou a nevymejsli kraviny. Fakt se tesim, jak budes vysvetlovat, ze sice sou stanice na gigovy siti, ale data se prenasej rychlosti modemu ... Kolik myslis ze sftp da? Kdyz z toho vyzdimes 10Mbit pro JEDEN stroj, tak si muzes gratulovat. CPU serveru pojede na 100%.

Fakt nevyužít AD i se vším co umí ...

Mno jestli te bavi obchazet 50 stroju porad dokola a kazdej nastavovat extra ... me by nebavilo ti to platit.

[Hever]

Díky za reakci, zkusím trochu oponovat:

Zadny problem s tim neni. Jen potrebujes, aby se user na notesu aspon jednou prihlasil v domene, pak uz AD nepotrebuje videt.

Není to tak. Po přihlášení v doméně se může člověk offline přihlásit, ale jen několikrát, podle toho jak je nastavený CachedLogonsCount, kde je výchozí nastavení 10 možných přihlášení, možno zvýšit na 50. Pak je otázka, jestli je to dost nebo není. Dokážu si představit, že to na pár denní služebce v sibiřské stepi nemusí stačit (kdyby to byl počet dní, řeknu si ok, ale počet přihlášení může být málo).

protoze davat svoje heslo nekomu do profilu muze leda magor

Proč? Samozřejmě  si nezaškrtne "pamatuj si toto heslo". Myslím, že je běžné, že se člověk k různým službám přihlašuje z různých míst.

druhak si kdokoli muze mountnout cokoli pod libovolnym uctem kterej zna

Nemůže. Nemůžeš si mountnout už namountovaný sdílený adresář pod jiným loginem, nejde to - už tam někdo přihlášený je.

aplikaci zmizej data pod rukama, protoze user odpojil sitovej disk

Ano, to je samozřejmě situace, která může nastat, vychází to z principu věci. Stejně tak se toto stává, když vypadne kabel/wifi signál nebo spadne server.

protoze si nezkusil ani google

Sice je používán google apps, ale celkově je směr nastavený opouštět "cloudové" služby a stěhovat si svá data na svá zařízení. Takže přesunovat file server na cloud je v tomto ohledu nesmysl. Také si nedovedu představit, jak by si lidé sdíleli nějaké 100MB soubory přes cloud (architekti a projektanti s takovými velikostmi opravdu běžně pracují).

najal admina

Ano, cesta s AD admina vyžaduje, protože je krkolomná a bez specializovaného admina blbě realizovatelná. Takže je to hodně drahá cesta. Zkouším najít levnější, jednodušší.

stanice na gigovy siti, ale data se prenasej rychlosti modemu ... Kolik myslis ze sftp da?

Díky za relevantní podnět. Je pravda, že SSH šifrování mívá nemalou režii. Zkusím se na to zaměřit.

obchazet 50 stroju porad dokola a kazdej nastavovat extra

Ono si to žije vlastním životem. Na začátku se tam nahodí ten antivir, nastaví pár drobností, nainstaluje tiskárny a přístup k ERP. Ale pak už se s tím prakticky nic neřeší. Takže neobcházíme ty počítače.

[i.cz]

CachedLogonsCount znamena kolik ruznych uctu se nacachuje. Ne kolikrat se muzu pripojit offline.

A pokud nastavim na 0, tak vlastne zakazu offline prihlaseni.

[Reklama]

[vty]

Je to v dnešní době exotický požadavek, ale proč ne?
Pochopil jsem (možná špatně), že chcete souborový systém přístupný po síti pro počítače s OS Windows a s centralizovanou správou uživatelských účtů na Windows klientech. Zároveň nechcete použít pro Windows klienty NT doménu resp Active Directory (a to ani v podobě opensource Samba). Bohužel to je jediné nativní řešení pro požadovanou centralizovanou správu účtů ve Windows.
Pro centralizovanou správu účtů, vám pak zbývá projekt pGina napojený např na LDAP aj. To samotné, ale neřeší přístup z Windows k síťovému souborovému systému. Pokud vám nebude vadit Samba, můžete ji zde použít v standalone roli s uživateli v LDAPu.
Máte-li chuť a čas na experimenty, tak mě ještě napadá pro vaše požadavky OpenAFS a pak byste nebyl závislý ani na SMB protokolu.
Je třeba očekávat, že u obou řešení se vyskytnou potíže a nemusí být lehké je zdolat.
Přeji hodně štěstí.

[Dzavy]

50 windows stanic bez AD a GPO? Jako admina bych Te asi vyhodil.

[JimB]

No upřímně máte o správě sítě docela zajímavé mínění, tak jak si to představujete je možná funkční na nějaké LAN o 5 uživatelech - řešíte nějaké odhlašování od fileserveru, které IMHO vůbec nehraje roli, ale neřešíte, že nemáte centrální správu uživatelů - co systém to vlastní databáze uživatelů, hesel, skupin, úpřímně bych asi ani nechtěl vidět ten nepořádek c v tom je/bude s přibývajícím počtem uživatelů. Nehledě na to, že AD přináší i další možnosti ohledně správy jednotlivých stanic, což při 50 strojích už skoro nejde ani "oběhat". Stejně tak používat DHCP/DNS na routeru mi přijde docela na hraně i když by se o tom dalo v závislosti na použitém routeru polemizovat. Nepropaguji tu řešení MS, AD se dá při 50lidech a jedné doméně, poměrně slušně postavit i na SAMBA, no a abych se postavil i na druhou stranu, dovedu si představit a i zažil jsem síť ve free firmě, kde si uživatelé defacto spravují PC sami, takže se moc neřeší administrace stanic, ale i tak se využívala centrální správa uživatelů v podobě LDAP. Osobně doporučuji se tomu začít více věnovat / najmout člověka který tomu rozumí.

[win]

pokud by byl zájem, můžeme navázat spolupráci v této souvislosti můžu poradit, pomoct případně zrealizovat
když tak zanech kontakt a domluvíme se ...

[icantbelieveit]

Pominuli fakt, ze tento dotaz patri spise do sekce humor, protoze ukazuje autorovu absolutni neznalost technologii, pak pokud jedinym pozadavkem fileserver postaveny na Windows s potrebou resit opravneni k jednotlivym slozkam, tak opravdu Active Directory nepotrebuje. Na serveru staci vytvorit lokalni uzivatele a pak dle pozadavku nastavit opravneni pro slozky ktere chce v ramci workgroup sdilet. Pro takovy file "server" ani nepotreba serverovou edici Windows, pro 20 konkurencnich pripojeni postaci i Windows 7 Pro.

[VK]

Active Directory je v podstatě LDAP + Kerberos, tedy věci známé i v linuxovém prostředí, a díky tomu máme i Sambu. V čase, kdy jsem dělal v soukromé firmě a měl na starost malou síť (linuxový server i klienti) jsem používal i NFS a nemyslím, že to byla výkonnostní tragédie, spíš naopak. Ale konfigurace NFS a Kerberosu byla nad moje síly.

Nyní spravuji jen vlastní domácí pidi síť se Sambou a musím uznat, že nic snadnějšího neexistuje, zvlášť když na serveru mám Zentyal (headless). A to stále používám linuxové klienty. Na OpenSUSE se díky YaSTu konfiguruje připojení do domény, připojení sdílených adresářů i použití SMB nebo Kerberosu k autentizaci prakticky samo. Bohužel.

[j]

Není to tak. Po přihlášení v doméně se může člověk offline přihlásit, ale jen několikrát, podle toho jak je nastavený CachedLogonsCount, kde je výchozí nastavení 10 možných přihlášení, možno zvýšit na 50. Pak je otázka, jestli je to dost nebo není. Dokážu si představit, že to na pár denní služebce v sibiřské stepi nemusí stačit (kdyby to byl počet dní, řeknu si ok, ale počet přihlášení může být málo).

Prosimte nepis takovyhle hovadiny, AD adminuju 10+ let. Zcela bezne se lidi s NB ukazou v domene 1-2x do roka. S AD je spousta problemu, ale tohle k nim rozhodne nepatri.

Proč? Samozřejmě  si nezaškrtne "pamatuj si toto heslo". Myslím, že je běžné, že se člověk k různým službám přihlašuje z různých míst.

Jasne, a ten keyloger kterej ma user spustenej si to heslo nezapise taky...

Nemůže. Nemůžeš si mountnout už namountovaný sdílený adresář pod jiným loginem, nejde to - už tam někdo přihlášený je.

Jasne, opet, nevis vubec co pises, stejne jako v prvnim bode, kdykoli lze mount na cokoli pod libovolnym uctem, samo, nepripojis 2x stejny pismeno. Ale klidne pripojis 10x stejnej share pod ruznejma uctama.

protoze si nezkusil ani google

Sice je používán google apps, ale celkově je směr nastavený opouštět "cloudové" služby a stěhovat si svá data na svá zařízení. Takže přesunovat file server na cloud je v tomto ohledu nesmysl. Také si nedovedu představit, jak by si lidé sdíleli nějaké 100MB soubory přes cloud (architekti a projektanti s takovými velikostmi opravdu běžně pracují).

... kde byla rec o gapps? Ty jen neumis pouzit google k tomu, abys ziskal aspon zakladni informace o tom, jak veci fungujou.

najal admina

Ano, cesta s AD admina vyžaduje, protože je krkolomná a bez specializovaného admina blbě realizovatelná. Takže je to hodně drahá cesta. Zkouším najít levnější, jednodušší.

Nikoli, mnohem drazsi je zamestnavat nekoho, kdo hleda cesty, misto aby pouzil to co existuje a normalne (v ramci moznosti) funguje.

obchazet 50 stroju porad dokola a kazdej nastavovat extra

Ono si to žije vlastním životem. Na začátku se tam nahodí ten antivir, nastaví pár drobností, nainstaluje tiskárny a přístup k ERP. Ale pak už se s tím prakticky nic neřeší. Takže neobcházíme ty počítače.

Jasne, takze nova verze aplikaci se ti instaluje tak nejak kdy se userum chce, pripadne neinstaluje vubec, nebo maji vsichni admina ...

50 windows stanic bez AD a GPO? Jako admina bych Te asi vyhodil.

... tak nejak ... kdyz widle, tak proste AD.

... dovedu si představit a i zažil jsem síť ve free firmě, kde si uživatelé defacto spravují PC sami, takže se moc neřeší administrace stanic, ale i tak se využívala centrální správa uživatelů v podobě LDAP. Osobně doporučuji se tomu začít více věnovat / najmout člověka který tomu rozumí.

Ja si to radsi predstavovat nechci, protoze sem to taky parkrat videl - predevsim v ruznych IT firmach to pak vede k tomu, ze cela firemni sit je derava jak reseto, kazdej si provozuje nejaky svoje tunely vsude mozne ...

[Hever]

CachedLogonsCount znamena kolik ruznych uctu se nacachuje. Ne kolikrat se muzu pripojit offline.

A pokud nastavim na 0, tak vlastne zakazu offline prihlaseni.

Ok, díky za dobrou zprávu! Prvně jsem si k tomu prošel tak dva zdroje (microsoft) a nabyl jsem dojmu, že to takto není, ikdyž jsem si to četl asi pětkrát. Teď se dívám jinde, že jsem to opravdu pochopil špatně (ostatně, zjistil jsem na jiných fórech taky, že nejsem první ani poslední, kdo to blbě pochopil - microsoft o tom píše vágně - a komu je to důrazně vysvětlováno).

co systém to vlastní databáze uživatelů, hesel, skupin
...
Stejně tak používat DHCP/DNS na routeru mi přijde docela na hraně i když by se o tom dalo v závislosti na použitém routeru polemizovat.
...
dovedu si představit a i zažil jsem síť ve free firmě, kde si uživatelé defacto spravují PC sami, takže se moc neřeší administrace stanic, ale i tak se využívala centrální správa uživatelů v podobě LDAP. Osobně doporučuji se tomu začít více věnovat / najmout člověka který tomu rozumí.

Co systém to jeden nezaheslovaný účet, nic víc.

To by mě zajímalo - proč by měl být DHCP server na routeru nedostatečný? (Zajímá mě to obecně, přesto dodám, že routery máme značky Mikrotik). Stejně tak DNS - co na této primitivní službě může Microsoft AD dělat jiného?

Centrální správě uživatelů se nijak nebráním, naopak ji samosebou budeme vytvářet - kvůli file serveru budeme určitě vytvářet pořádek v uživatelích a budeme jej chtít propojit se stávajícími dvěma systémy.

[Hever]

1) Prosimte nepis takovyhle hovadiny, AD adminuju 10+ let. Zcela bezne se lidi s NB ukazou v domene 1-2x do roka. S AD je spousta problemu, ale tohle k nim rozhodne nepatri.
...
2) Jasne, a ten keyloger kterej ma user spustenej si to heslo nezapise taky...
...
3) Jasne, opet, nevis vubec co pises, stejne jako v prvnim bode, kdykoli lze mount na cokoli pod libovolnym uctem, samo, nepripojis 2x stejny pismeno. Ale klidne pripojis 10x stejnej share pod ruznejma uctama.
...
4) Jasne, takze nova verze aplikaci se ti instaluje tak nejak kdy se userum chce, pripadne neinstaluje vubec, nebo maji vsichni admina ..

1) Ok, omlouvám se, viz výše.
2) Tento druh paranoi nepřijímám. Keyloggery můžou být všude. Když bude v prezentačce nějaké PC, taky tam budeš před přihlášením lozit pod stůl, jestli tam není keylogger? V takové firmě, kde by mě někdo nalákal abych se u něj přihlásil, aby mi keyloggerem sejmul heslo, v takové bych nechtěl pracovat.
3) Uznávám, nevím. Hledal jsem, nenašel jsem. Jak toho docílit, jak to vysvětlit uživatelům, že to můžou vyklikat?
4) Nová verze aplikace není. Není žádná aplikace. Je jedna jakási síťová (při instalaci widlí se tam nějaké věci ponastavují aby to fungovalo) a pak webové.

[Hever]

Za všechny dosavadní zprávy všem děkuji. Mám ve zvyku automaticky nepřijímat všechny zavedené pořádky, teda především ty, u kterých mám pocit, že by mohlo existovat i něco jiného. Proto jsem si dovolil tady položit tuto kacířskou otázku. Pár věcí se mi prozatím rozleželo v hlavě.

Abych trochu objasnil co mě vede takto uvažovat. O uživatelských stanicích (především o těch s windows) uvažuju dost jako jen o hloupých terminálech a tedy od samotného systému neočekávám víc než že spustí nějakou aplikaci, ve které si už uživatel řeší všechno. Podvědomou inspirací k tomuto myšlení je mi asi současná doba mnoha "hloupých" zařízení v síti, především mobily a tablety. U takových zařízení se člověk nepřihlašuje, maximálně je tam nějaký ten pin. Až v něm si potom spustí svou aplikaci, kde se autentizuje. Co se group policy týká, věřím, že může nabízet spousty zajímavých věcí. Ale věřím, že u většinu těchto věcí není třeba, když člověk systémy ve firmě navrhne jinak, jednodušeji. A co se zaručení bezpečnosti týká, to by samozřejmě byl silný argument. To bych si ale nesměl o windows myslet, že je to už v základu jeden velký bloatware. (Můžu to tady vyslovit, žejo? Jsme na "linuxovém webu"? Do fóra dlaždičů bych to nenapsal, ale tady můžu, ne?) Chápu, že nechat uživateli systém napospas je giganticky průserové, já prostě ale moc nevěřím tomu, že windows spravované (řekněme nikoliv ultra špičkovým adminem) na tom budou o tolik líp.

Dále si sám pro sebe odpovím, že přihlašování do operačního systému je třeba - uživatel by měl možnost si uzamknout celý systém a odskočit si do kuchyňky oloupat pomeranč, protože "odhlašovat se" z přihlášených systémů je blbost. A když uzamknout, tak tam musí být heslo (takže jak jsem psal, že spousta OS běžných uživatelů je nezaheslovaných, tak to je špatně - ikdyž u privilegovaných uživatelů to neplatí a ti bežní vidí všichni to stejné, přece jen by někdo mohl provádět nějakou akci pod loginem někoho jiného a to je špatně).

Ještě si nechám uležet to, jestli to heslo musí být z centrální databáze. Samozřejmě, zní to rozumně. Ale nestačil by ekvivalent pinu, tedy že si uživatel na tom svém počítači přednastavený účet zahesluje? (Nedokážu zatím posoudit kolik moc věcí je tam navíc oproti "centrální správě uživatelů", kterou stejně budeme vytvářet pro samba share file server a dvě firemní aplikace)