SP
эм… ансибл с модулем user?
Да. Хзскока тачек, помноженные на полторы сотни пользователей.
Size: a a a
2019 May 29
SP
Митап про LDAP?
Угу.
KT
Да. Хзскока тачек, помноженные на полторы сотни пользователей.
KT
я видел много применений ансибля
KT
НО ТАКОЕ
МS
Угу.
Можно попробовать
МS
тема спецефичная правда
SP
Специфичная, факт. Но к ней, например, SSO в виде Shibboleth цепляется (даже с 2FA).
OK
Господа, кто huawei cloud, сервера пользует? Какая-то там непонятная фигня .. за паблик IP, там надо отдельно платить включая траффик? Это реально, или я не туда рою? Нужен просто сервак с паблик айпи
SP
В целом, наверное, можно более общую тему заявить - что-то в духе "Централизованные системы аутентификации: всё, что вы хотели, но боялись спросить".
SE
В целом, наверное, можно более общую тему заявить - что-то в духе "Централизованные системы аутентификации: всё, что вы хотели, но боялись спросить".
и рассказать как это все замутить на ансибле 😊
SP
и рассказать как это все замутить на ансибле 😊
Ансибл в данном случае - очень прикладная вещь.
DN
Господа хорошие, сегодня очередной лауреат хэштега #странное в @pro_ansible хочет запилить LDAP на базе Ansible. Это какое-то повальное поветрие, связанное со странной убеждённостью в том, что LDAP - это "...чудище обло, стозевно и лаяй...". Может, пора митап на эту тему запилить, дабы рассеять заблуждения?
ннада
GM
у меня который день животрипещущие вопросы на которые никто не отвечает
Надеюсь митап будет про нормальные кейсы с нормально ПО, а не типа у нас 3 админа и мы ща возьмем кусок говна под названием опенлдап и сделаем "круто" и ансибл не учавствует в процессе дальше чем ?
мы же "нормальном" хотим, значит все должно удобно друг с другом интегриться и стабильно работать, те 99% опенсорса отваливается те выбор решений сводится примено к:
1) Redhat identify management
2) Microsoft active directory
3) IBM directory server(tivoli)
4) NetIQ eDirectory(бывший новелл)
5) reopenldap
в принципе хватит тк остальное c ошибками в днк которые стрлеяют не только в ногу, но и в голову.
- как разграничивать права доступа, стурктура, примеры - чтоб простой эникейщик не мог себе нарисовать доступ на прод с приложухами, как настроить аудит всего этого. Ну не будет же админ который занимается серверами админить лдап на 1000 виндоюзеров ну или как жить с костылями в виде репликации во вторую систему и все это админить опять же
- кросс дц репликация и вот это все что связано с отказоустойчивостью и\или как и где осталвять дырку на тот момент когда(не если) сервер с лдапом сломается(ну например когда кто-то гениально решил взять ваниальный openldap или фриипу которая все время своего существования в состоянии преальфы и работает на уровне стабильности как у цефа).
- как с помощью нажатия одной кнопочки выдать доступ к одному серверу группе людей или к группе серверов одному человеку с помощью этого ну те админ0 должен ходить на серверы А, B и C; Админ2 на серверы A и C и админ3 на A
Я как бэ сам через sssd цепляю дев-тест-стейджинг, но как(я не спрашиваю зачем хотя это реально важно) это пускать на прод если после такой процедуры "любой" виндоадмин сможет туда попасть легко и непринужденно(я надеюсь всем очевидно что в большинстве случаев проблемы с безопасностью именно внутри периметра, а не снаружи)?
Надеюсь митап будет про нормальные кейсы с нормально ПО, а не типа у нас 3 админа и мы ща возьмем кусок говна под названием опенлдап и сделаем "круто" и ансибл не учавствует в процессе дальше чем ?
мы же "нормальном" хотим, значит все должно удобно друг с другом интегриться и стабильно работать, те 99% опенсорса отваливается те выбор решений сводится примено к:
1) Redhat identify management
2) Microsoft active directory
3) IBM directory server(tivoli)
4) NetIQ eDirectory(бывший новелл)
5) reopenldap
в принципе хватит тк остальное c ошибками в днк которые стрлеяют не только в ногу, но и в голову.
- как разграничивать права доступа, стурктура, примеры - чтоб простой эникейщик не мог себе нарисовать доступ на прод с приложухами, как настроить аудит всего этого. Ну не будет же админ который занимается серверами админить лдап на 1000 виндоюзеров ну или как жить с костылями в виде репликации во вторую систему и все это админить опять же
- кросс дц репликация и вот это все что связано с отказоустойчивостью и\или как и где осталвять дырку на тот момент когда(не если) сервер с лдапом сломается(ну например когда кто-то гениально решил взять ваниальный openldap или фриипу которая все время своего существования в состоянии преальфы и работает на уровне стабильности как у цефа).
- как с помощью нажатия одной кнопочки выдать доступ к одному серверу группе людей или к группе серверов одному человеку с помощью этого ну те админ0 должен ходить на серверы А, B и C; Админ2 на серверы A и C и админ3 на A
Я как бэ сам через sssd цепляю дев-тест-стейджинг, но как(я не спрашиваю зачем хотя это реально важно) это пускать на прод если после такой процедуры "любой" виндоадмин сможет туда попасть легко и непринужденно(я надеюсь всем очевидно что в большинстве случаев проблемы с безопасностью именно внутри периметра, а не снаружи)?
DZ
Хотя бы в роли кросс-дц решения, про остальные вопросы я не уверен, что они адресуются.
SP
у меня который день животрипещущие вопросы на которые никто не отвечает
Надеюсь митап будет про нормальные кейсы с нормально ПО, а не типа у нас 3 админа и мы ща возьмем кусок говна под названием опенлдап и сделаем "круто" и ансибл не учавствует в процессе дальше чем ?
мы же "нормальном" хотим, значит все должно удобно друг с другом интегриться и стабильно работать, те 99% опенсорса отваливается те выбор решений сводится примено к:
1) Redhat identify management
2) Microsoft active directory
3) IBM directory server(tivoli)
4) NetIQ eDirectory(бывший новелл)
5) reopenldap
в принципе хватит тк остальное c ошибками в днк которые стрлеяют не только в ногу, но и в голову.
- как разграничивать права доступа, стурктура, примеры - чтоб простой эникейщик не мог себе нарисовать доступ на прод с приложухами, как настроить аудит всего этого. Ну не будет же админ который занимается серверами админить лдап на 1000 виндоюзеров ну или как жить с костылями в виде репликации во вторую систему и все это админить опять же
- кросс дц репликация и вот это все что связано с отказоустойчивостью и\или как и где осталвять дырку на тот момент когда(не если) сервер с лдапом сломается(ну например когда кто-то гениально решил взять ваниальный openldap или фриипу которая все время своего существования в состоянии преальфы и работает на уровне стабильности как у цефа).
- как с помощью нажатия одной кнопочки выдать доступ к одному серверу группе людей или к группе серверов одному человеку с помощью этого ну те админ0 должен ходить на серверы А, B и C; Админ2 на серверы A и C и админ3 на A
Я как бэ сам через sssd цепляю дев-тест-стейджинг, но как(я не спрашиваю зачем хотя это реально важно) это пускать на прод если после такой процедуры "любой" виндоадмин сможет туда попасть легко и непринужденно(я надеюсь всем очевидно что в большинстве случаев проблемы с безопасностью именно внутри периметра, а не снаружи)?
Надеюсь митап будет про нормальные кейсы с нормально ПО, а не типа у нас 3 админа и мы ща возьмем кусок говна под названием опенлдап и сделаем "круто" и ансибл не учавствует в процессе дальше чем ?
мы же "нормальном" хотим, значит все должно удобно друг с другом интегриться и стабильно работать, те 99% опенсорса отваливается те выбор решений сводится примено к:
1) Redhat identify management
2) Microsoft active directory
3) IBM directory server(tivoli)
4) NetIQ eDirectory(бывший новелл)
5) reopenldap
в принципе хватит тк остальное c ошибками в днк которые стрлеяют не только в ногу, но и в голову.
- как разграничивать права доступа, стурктура, примеры - чтоб простой эникейщик не мог себе нарисовать доступ на прод с приложухами, как настроить аудит всего этого. Ну не будет же админ который занимается серверами админить лдап на 1000 виндоюзеров ну или как жить с костылями в виде репликации во вторую систему и все это админить опять же
- кросс дц репликация и вот это все что связано с отказоустойчивостью и\или как и где осталвять дырку на тот момент когда(не если) сервер с лдапом сломается(ну например когда кто-то гениально решил взять ваниальный openldap или фриипу которая все время своего существования в состоянии преальфы и работает на уровне стабильности как у цефа).
- как с помощью нажатия одной кнопочки выдать доступ к одному серверу группе людей или к группе серверов одному человеку с помощью этого ну те админ0 должен ходить на серверы А, B и C; Админ2 на серверы A и C и админ3 на A
Я как бэ сам через sssd цепляю дев-тест-стейджинг, но как(я не спрашиваю зачем хотя это реально важно) это пускать на прод если после такой процедуры "любой" виндоадмин сможет туда попасть легко и непринужденно(я надеюсь всем очевидно что в большинстве случаев проблемы с безопасностью именно внутри периметра, а не снаружи)?
Я внедрял ReOpenLDAP и контрибьютил в него сборку rpm-пакета.
В качестве веб-морды использовался phpLDAPAdmin, и мне правда плевать на то, что не модно и не на бутстрапе - зато моих знаний PHP было вполне достаточно, чтобы без упарываний сделать кастомизацию под бизнес-процессы конкретной компании.
В качестве веб-морды использовался phpLDAPAdmin, и мне правда плевать на то, что не модно и не на бутстрапе - зато моих знаний PHP было вполне достаточно, чтобы без упарываний сделать кастомизацию под бизнес-процессы конкретной компании.
DZ
Пардон, я не углядел его в списке 🙂
SP
Пардон, я не углядел его в списке 🙂
Выше под №5.
DZ
Да, я уже нашёл