Lze se vyhnout Active Directory DC?

[Mirek Prýmek]

Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?

A to by mě velice zajímalo, jak bys chtěl tohle implementovat dobře (tj. tak, aby to vůbec k něčemu bylo). Implementovat to podle IP/mac adresy je totiž ptákovina.

Jediný, o čem vím, že by to mohlo řešit rozumně, je: pravidla podle fyzického umístění nebo ipsec/Radius/x509. K tomu prvnímu potřebuješ jenom síťové prvky, které umí vlany, a to druhé velká část správců předem zavrhne, protože se jim do toho celého cirkusu vůbec nebue chtít pouštět.

[Reklama]

[MP]

Jak se tam mrkne centrální backup server? Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?

Osobně chci ve firmě mít nad IP adresami kontrolu. To samozřejmě nevyžaduje DC, o tom vůbec nemluvím.

Mrknání backup serveru nebude probíhat při správně nastaveném prostředí. Backup by měl být push, nikoliv pull. Domrkne ve vašem setupu backup server i na počítač, který bude na dvoutýdenní služební cestě někde mimo (občas na internetu)? Méně přísná pravidla firewallu bych řadil do nastavení dle nepříčetného managementu.

A ted schvalne, kdyz to zkombinuji s tou obezlickou (ulozeni user/pass v profilu) pro pristup na netshare. Dojde k nejtypictejsi situaci - reset hesla. Jakym zpusobem provedete aktualizaci zmeneneho hesla?

[MP]

Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?

A to by mě velice zajímalo, jak bys chtěl tohle implementovat dobře (tj. tak, aby to vůbec k něčemu bylo). Implementovat to podle IP/mac adresy je totiž ptákovina.

Jediný, o čem vím, že by to mohlo řešit rozumně, je: pravidla podle fyzického umístění nebo ipsec/Radius/x509. K tomu prvnímu potřebuješ jenom síťové prvky, které umí vlany, a to druhé velká část správců předem zavrhne, protože se jim do toho celého cirkusu vůbec nebue chtít pouštět.

Tak, je tu i moznost neceho takoveho - Cisco ma IDFW, jinymi slovy "Configure Identity-based (AD user/group based) Access Rules on the ASA."

[Hever]

Jak se tam mrkne centrální backup server? Nebo firewall, když je potřeba vývojáři nastavit méně přísná pravidla?

Osobně chci ve firmě mít nad IP adresami kontrolu. To samozřejmě nevyžaduje DC, o tom vůbec nemluvím.

Mrknání backup serveru nebude probíhat při správně nastaveném prostředí. Backup by měl být push, nikoliv pull. Domrkne ve vašem setupu backup server i na počítač, který bude na dvoutýdenní služební cestě někde mimo (občas na internetu)? Méně přísná pravidla firewallu bych řadil do nastavení dle nepříčetného managementu.

A ted schvalne, kdyz to zkombinuji s tou obezlickou (ulozeni user/pass v profilu) pro pristup na netshare. Dojde k nejtypictejsi situaci - reset hesla. Jakym zpusobem provedete aktualizaci zmeneneho hesla?

Asi teď nerozumím, proč by se mělo heslo vyresetovat. Jestli odpovídám na dotaz nebo ne nevím, ale uživatel své LDAP-heslo zná (případně zná vyresetované heslo), tak si ho tam zadá (a nechá ho případně uložit do kredence).

Jinak backup bych řešil úplně jinak. Běžný zaměstnanec nechť píše všechno do systémů, na svojem počítači ať má jen nějaká svá dočasná data (své zálohy a cokoliv), to zálohovat nebudu. A vedoucí pracovníci by u sebe měli nějakou aplikaci, která by po nějakém kanále zálohy/synchronizace prováděla (teď by to byl asi Synology cloud station, protože na file server používám právě synology).

[Hever]

Co Kerberos? Windows se umí, krom připojení do AD domény, také připojit do čisté Kerberos domény. A získané Kerberos tickety pak umí používat dále o věřovat se s nima třeba i proti CIFS serveru.
V tomto případě je jen třeba každý počítač nastavit, že když se k němu přihlásím s Kerberos UPN x@FIRMA.CZ, že to má pochopit jako přihlášení lokálního uživatele y (jde mapovat víc UPN na jeden lokální účet).
Pak místo AD můžu mít lidi sjendoceno přihlšování v Kerberos serveru, proti kterému ověřuji všechno další, co mám po firmě. A na Kerberos server na což mám tunu možností (holý kerberos server v několika variantách, FreeIPA, ale třeba i Samba4...).
V tomto režimu mám jen řešeno to centrální jméno/heslo. Vše ostatní si musím pořešit nějak jinak.
Nepoužívám v praxi, nakonec jsme šli cestou, že komply lidí jsou v AD dělané Sambou 4 (několik replikujících serverů, včetně read only replik v DMZ). Tím pádem na woknech klasický AD login a na vše dál už Kerberos ticket odvozený od toho AD loginu.
Win stanice se dálkově spravují pomocí Novell ZenWorks, jako další varianta k GPO (ale to je také na pár věcí použito)...

Díky za podnětnou odpověď, škoda že nepřišla už před nekolika měsíci. O kerberos-only windows autentifikaci jsem neměl ponětí.

V popisovaném řešení by pak na všech sytémech byly uživatelské jména ve tvaru uživatel@nejakadomena.cz?

Rád bych vystrčil DC ven do internetu, ale dočítám se, že to není úplně dobrý nápad (MS asi tuší, jak jsou ty jejich řešení děravé, tak to nedoporučuje). Zkusím pohledat něco k těm read-only DCčkúm v DMZ.

[Reklama]

[dustin]

A to by mě velice zajímalo, jak bys chtěl tohle implementovat dobře (tj. tak, aby to vůbec k něčemu bylo). Implementovat to podle IP/mac adresy je totiž ptákovina.

Záleží, co je cílem. V našem případě nejde o to zakázat přístup lidem, ale omezit odchozí porty např. na win strojích. Samozřejmě že to znalý člověk umí obejít, ale to zde není žádným cílem.

Jde mi o to, že vazba DNS - DHCP je pro nás užitečná.

[dustin]

Jinak backup bych řešil úplně jinak. Běžný zaměstnanec nechť píše všechno do systémů, na svojem počítači ať má jen nějaká svá dočasná data (své zálohy a cokoliv), to zálohovat nebudu. A vedoucí pracovníci by u sebe měli nějakou aplikaci, která by po nějakém kanále zálohy/synchronizace prováděla (teď by to byl asi Synology cloud station, protože na file server používám právě synology).

Bys řešil nebo opravdu řešíš? Kolik strojů vlastně prakticky spravuješ?

Centrální backup je pro menší počet strojů velice užitečný, roky používáme backuppc. V noci si backuppc stroje přes WOL zapne, zazálohuje, vypne. Pokud je někdo přihlášený, máme tam jednoduché řešení na zámky, aby backuppc uživateli stroj nevyplo pod rukama (pro těch pár win stanic jsme tohle neřešili).

V noci probíhá spoustu dalších úkonů, na vývojářské stanice se synchronizují databáze a datové soubory z předchozího dne, aby jel vývoj na aktuálních datech. Vše přes WOL + IP. Ale jo, třeba pro call centrum by to asi nebylo potřeba.

[Hever]

Bys řešil nebo opravdu řešíš?

Používá se víc programů, tento vypadá nejlépe, takže bude nasazený všude, kde bude potřeba.

Centrální backup je pro menší počet strojů velice užitečný, roky používáme backuppc. V noci si backuppc stroje přes WOL zapne, zazálohuje, vypne.

Takže notebook mimo firmu nezazálohuješ.

Užitečných je mnoho věcí, tato si ale s sebou tahá zbytečnou přítěž v podobě závislosti na DNS+DHCP. A má svá omezení (LAN).

[dustin]

Takže notebook mimo firmu nezazálohuješ.

Jakmile se objeví na vnitřní síti, backuppc jej zazálohuje (pamatuje si, že u něj má "rest", pořád si osáhává síť a zkouší pingovat stroje, které zná). Nebo lze přes vpnku, technicky tomu nic nebrání, má svou IP adresu, i tu si backuppc testuje, pokud ji má nakonfigurovanou.

Užitečných je mnoho věcí, tato si ale s sebou tahá zbytečnou přítěž v podobě závislosti na DNS+DHCP. A má svá omezení (LAN).

Vidím to jinak, ale hlavní je, že ti to funguje. Já měnit nebudu :-)

[JardaP .]

Takže notebook mimo firmu nezazálohuješ.

Tak jiste, zalohovani po uplinku ADSL, kdyz pripojim stroj doma na wifi, je urcite dobry napad. Sice to teda na dve hodiny zabije pripojku, ale to nevadi.

[Hever]

Takže notebook mimo firmu nezazálohuješ.

Tak jiste, zalohovani po uplinku ADSL, kdyz pripojim stroj doma na wifi, je urcite dobry napad. Sice to teda na dve hodiny zabije pripojku, ale to nevadi.

Jednak tedy půjde v reálu (až na vyjímky) vždy o velmi malé množství dat. A jinak myslím, že raději ať je vytížená linka, než aby nebyly zálohy.

[JardaP .]

Jednak tedy půjde v reálu (až na vyjímky) vždy o velmi malé množství dat. A jinak myslím, že raději ať je vytížená linka, než aby nebyly zálohy.

Nic ve zlem, ale nez pres ADSL, tak si radsi udelam lokalni zalohu. Zejmena treba nekde na cestach s nejakou udesnou hotelovou pripojkou.

Ono se sice muze jednat o male mnozstvi odlisnych dat, ale pokud je to gigabajtovy soubor, tak take zalezi na tom, cim by se zalohovalo. Treba rsyncem je to za chvili, ale pokud by se to delo nejakou MS srackou, tak bych to tak dobre nevidel.

[D.J.Bobo]

No, tak nějak chápu tazaele, ale proč chce jít proti proudu? Ono by se opravdu mohlo stát,že se prostě ty nářky uživatelů budou spíš nést směrem k vedení a jednoho krásného dne by mohl být pozván na kobereček a dozvědět se, že je nahrazen jiným adminem, který nejde proti proudu a jehož práce bude pro uživatele přínosem.

Osobně, jelikož má firma téměřvšechny stanice Windows (kromě 2x Apple, kde ale běží Parallels a v něm Windows), AD byla jasná volba. Uživatel se prostě přihlásído domény a jeho PC je "důvěryhodný" pro všechny dalšív doméně. Víš, právě ta důvěryhodnost je promě hlavní deviza.

Navíc, pokud zaměstnanec přijde, založím účet a má přístup všude (FileShare jak na WIn, tak na Linuxové servery, mailserver, ownCloud pro zálohy, firemní CRM, dokonce přes Win Radius napojený na AD i k Wifi). Zaměstnanec odejde, zablokuju účet a nemá přístup nikam -  na nic jsem nezapomněl.
Potažmo, zaměstnanec odejde a nechá si zaheslovaný PC a pokud by nebyl v doméně (a zablokoval mi Admin heslo lokal admina), tak budu tancovat (na místě) s CD a odemykat jeho PC ...

Navíc uživatel má být obecně User/Domain User, ne Admin. Tedy žádná instalace. Když mi v jedné firmě řekli, že nutně potřebují Chrome, přes GPO jsem nastavil instalaci na PC a oprávnění do Chorme, ráno zapli PC, spuštění trvalo o chvilku déle a Chrome byl na PC. Paráda. A jelikože někteří měli dovolenou, tak se to nainstalovalo později.

Nebo typicky-měním PC. Přes AD/GPO se doinstalují všechny potřebné programy (včetně toho Chrome) a natáhne se celý profil ze serveru. Uživatel prostě přijde, zapne, naloguje ... a pracuje.

A o tom to je. Ne lítat po firmě s vyplazeným jazykem a dávat dohromady pomocí scriptů mašiny, ale dívat se, jak to šlape samo.

Víš, pozušenotech je nejlepší zkombinovat svět Windows a svět Linuxu tak, aby to špalalo a ty jsi se mohl v klidu dívat na Youtube a tu a tam "předstírat" moc práce ... pamatuj na to, že když Admin fakt maká, pak je něco špatně, protože firma nejede a netvoří hodnoty.

[JardaP .]

Potažmo, zaměstnanec odejde a nechá si zaheslovaný PC a pokud by nebyl v doméně (a zablokoval mi Admin heslo lokal admina), tak budu tancovat (na místě) s CD a odemykat jeho PC ...

A co ma zamestnanec co mit lokalniho admina? Krome toho, kdyz zamestnanec odejde, tak se na disk nasype cerstvy system a s nejakym zaheslovanym adminem se nikdo nesere. Mimo jine proto, ze ten zamestnanec mel toho lokalniho admina.

[D.J.Bobo]

A co ma zamestnanec co mit lokalniho admina? Krome toho, kdyz zamestnanec odejde, tak se na disk nasype cerstvy system a s nejakym zaheslovanym adminem se nikdo nesere. Mimo jine proto, ze ten zamestnanec mel toho lokalniho admina.
[/quote]

Souhlasím, jen pisatel psal, že "si doinstalují" a to bez admina neudělají. Ano, uživatel má být USER (to jsem psal). A pokudněco potřebuje, tak mu to tam dám.

Proč reinstalovat?  Pokud je User a jen pracuje, tak maximálně při další návštěvě jen odstraním lokální kopii profilu, na PC jsou všechny proramy a je zbytečné to pokaždé přeinstalovávat. Mám PC, kde je původní Windows od dodávky (instaluji si sám přes Windows Nasazení systému) a jelikož tam je jen můj SW, není důvod.