A
Size: a a a
2021 March 28
TG
Ок
VC
Что-то чем больше читаю про LDAP для Linux тем больше кажется, что для задачи управления пользовательскими учётками на десятке stand-alone Linux серверов, даже без приватной сети между собой, это оверенжиниринг ((( Чего-то, видимо, не понимаю
AD
Если реально 5-10 серверов и не планируется рост - то да
AD
По воробьям из пушки
VZ
Что-то чем больше читаю про LDAP для Linux тем больше кажется, что для задачи управления пользовательскими учётками на десятке stand-alone Linux серверов, даже без приватной сети между собой, это оверенжиниринг ((( Чего-то, видимо, не понимаю
freeipa посмотрите
VC
freeipa посмотрите
собственно с нее и начинаются вопросы “нафига мне все это?” ntp, dns, kerberos, pki, policy что там ещё. Изначальный план был накатить ансиблем опенлдап на один сервер. ssh через ldap для остальных и ансиблем поддерживать списки юзеров c группами и ключами для каждого хоста через community.general.ldap_*
VZ
Ну он отлично в контейнере пускается.
VZ
А так на небольшое количество машин ключи/юзеров можно и анзиблем управлять
VC
собственно с нее и начинаются вопросы “нафига мне все это?” ntp, dns, kerberos, pki, policy что там ещё. Изначальный план был накатить ансиблем опенлдап на один сервер. ssh через ldap для остальных и ансиблем поддерживать списки юзеров c группами и ключами для каждого хоста через community.general.ldap_*
Это выглядело как одноразовая задача, требующая затрат времени на рисерч и и разработку ролей, но потом сводящаяся к текущей: управление юзерами через различные варсы ансиблем
VC
А так на небольшое количество машин ключи/юзеров можно и анзиблем управлять
я так и управляю, но многие тут и вообще говорят что я пытаюсь создать лдап на ансибле )
VC
десяток машин пока. десфток юзеров, рост по паре тех и других в год. не больше
VZ
Да как удобно, так и делай, почему нет.
VC
Да как удобно, так и делай, почему нет.
не хочу чтоб получилось как с ансиблем ) когда впервый услышал, посмотрел и подумал “овеенжинеринг какой-то. я уже всё давно на баше написал” ))
TG
не хочу чтоб получилось как с ансиблем ) когда впервый услышал, посмотрел и подумал “овеенжинеринг какой-то. я уже всё давно на баше написал” ))
TG
Я полез на сайт ансамбля, посмотрел как он работает … подключается к удаленному серверу через ssh и выполняет какие-то там скрипты... Стоп, подумал я, разве для этого нужен ансамбль? Я и без ансамбля, сам ..., один… могу это сделать!
SP
Я полез на сайт ансамбля, посмотрел как он работает … подключается к удаленному серверу через ssh и выполняет какие-то там скрипты... Стоп, подумал я, разве для этого нужен ансамбль? Я и без ансамбля, сам ..., один… могу это сделать!
Да, вполне по делу заминусовано.
SP
Завелосипедены Fabric/Polemarch, отсутствует RBAC.
VZ
Часы, а то и дни в первый раз, даже не гуглится толком ничего
freeipa например
VZ
Что-то чем больше читаю про LDAP для Linux тем больше кажется, что для задачи управления пользовательскими учётками на десятке stand-alone Linux серверов, даже без приватной сети между собой, это оверенжиниринг ((( Чего-то, видимо, не понимаю
делайте на чем угодно. pam вам позволит mysq\psql и разную другую дичь, которые сможете осилить, если для вас ldap это оверинженеринг Как вы тогда вообще другие вещи исследуете