SP
Рсислог это твоя резня в Блавикине. Что-то бы ты ни сказал, всё равно в тебе будут видеть фаната рсислога
Очень узкий взгляд, хоче заметить. Но если тебе так удобно - ради яиц, видь во мне фаната рсислога.
Size: a a a
2020 January 04
SP
Ну ты же всё прочитал полностью, да?
AS
Да. Написано рсислог отстой
BG
Мне казалось, это очевидно ...
ЕО
Очень узкий взгляд, хоче заметить. Но если тебе так удобно - ради яиц, видь во мне фаната рсислога.
Сложно доверять человеку в одних вопросах, когда в других он фанатично и слепо всем советует лютое дерьмо
ЕО
Понятно что человек не может быть компетентен во всём, но если ты в чём-то не компетентен, то зачем тогда фанатично отстаивать своё необоснованное мнение?
BG
Сложно доверять человеку в одних вопросах, когда в других он фанатично и слепо всем советует лютое дерьмо
Рсислог не прям дерьмо, вроде. Просто он особенный. Но там все тулы менеджента логов особенные, просто по разному
SP
Сложно доверять человеку в одних вопросах, когда в других он фанатично и слепо всем советует лютое дерьмо
Ты не смог в рсислог?
SP
Понятно что человек не может быть компетентен во всём, но если ты в чём-то не компетентен, то зачем тогда фанатично отстаивать своё необоснованное мнение?
Не вижу смысла отвечать, разве что молча тебя побанить по чатам за неадекватность?.... Но тут же интернет, поэтому не дождёшься - банов не будет. Просто иди нахер.
N
@tnt4brain вообще мне просто не хватило аргументов от тебя про freeipa и какой то предложенной альтернативы под задачи чувака выше:) поэтому в шутку вбросил про рсислог
SP
@tnt4brain вообще мне просто не хватило аргументов от тебя про freeipa и какой то предложенной альтернативы под задачи чувака выше:) поэтому в шутку вбросил про рсислог
Аргументы достаточно простые.
1. FreeIPA - нерасширяемое решение: ты не можешь взять и скоренько наваять удобный wizard по добавлению какой-то сущности, которая соответствует бизнес-процессам твоей организации.
2. FreeIPA создаёт совершенно отбитое дерево LDAP, и ты не можешь его произвольно взять и поменять.
3. sssd из комплекта - просто кусок говна, т.к периодически встаёт колом (и так уже лет 5, что ли, судя по issues), и тогда ты вообще ничего не можешь сделать с доменной учёткой, т.к. она аутентифиуируется посредством pam_sssd - только локальный пользователь, только ключи.
4. Kerberos там без вариантов - та ещё дрянь.
Выдача доступов (авторизация) на самом деле делается локально на каждой тачке через модули PAM. Только если ты используешь готовые блоки - получаешь польностью управляемую среду, а коробочное решение - оно "вещь в себе".
1. FreeIPA - нерасширяемое решение: ты не можешь взять и скоренько наваять удобный wizard по добавлению какой-то сущности, которая соответствует бизнес-процессам твоей организации.
2. FreeIPA создаёт совершенно отбитое дерево LDAP, и ты не можешь его произвольно взять и поменять.
3. sssd из комплекта - просто кусок говна, т.к периодически встаёт колом (и так уже лет 5, что ли, судя по issues), и тогда ты вообще ничего не можешь сделать с доменной учёткой, т.к. она аутентифиуируется посредством pam_sssd - только локальный пользователь, только ключи.
4. Kerberos там без вариантов - та ещё дрянь.
Выдача доступов (авторизация) на самом деле делается локально на каждой тачке через модули PAM. Только если ты используешь готовые блоки - получаешь польностью управляемую среду, а коробочное решение - оно "вещь в себе".
AS
Кроме не гибкости не прочитал каких либо минусов
AS
От ааа я не очень то ожидаю гибкость
AS
Керберос это простоткерберос
N
Аргументы достаточно простые.
1. FreeIPA - нерасширяемое решение: ты не можешь взять и скоренько наваять удобный wizard по добавлению какой-то сущности, которая соответствует бизнес-процессам твоей организации.
2. FreeIPA создаёт совершенно отбитое дерево LDAP, и ты не можешь его произвольно взять и поменять.
3. sssd из комплекта - просто кусок говна, т.к периодически встаёт колом (и так уже лет 5, что ли, судя по issues), и тогда ты вообще ничего не можешь сделать с доменной учёткой, т.к. она аутентифиуируется посредством pam_sssd - только локальный пользователь, только ключи.
4. Kerberos там без вариантов - та ещё дрянь.
Выдача доступов (авторизация) на самом деле делается локально на каждой тачке через модули PAM. Только если ты используешь готовые блоки - получаешь польностью управляемую среду, а коробочное решение - оно "вещь в себе".
1. FreeIPA - нерасширяемое решение: ты не можешь взять и скоренько наваять удобный wizard по добавлению какой-то сущности, которая соответствует бизнес-процессам твоей организации.
2. FreeIPA создаёт совершенно отбитое дерево LDAP, и ты не можешь его произвольно взять и поменять.
3. sssd из комплекта - просто кусок говна, т.к периодически встаёт колом (и так уже лет 5, что ли, судя по issues), и тогда ты вообще ничего не можешь сделать с доменной учёткой, т.к. она аутентифиуируется посредством pam_sssd - только локальный пользователь, только ключи.
4. Kerberos там без вариантов - та ещё дрянь.
Выдача доступов (авторизация) на самом деле делается локально на каждой тачке через модули PAM. Только если ты используешь готовые блоки - получаешь польностью управляемую среду, а коробочное решение - оно "вещь в себе".
А какая альтернатива?
AS
Альтернатива ещё менее гибкие облачные провайдеры
ЕО
А какая альтернатива?
Собрать всё самому на опенлдапе с нуля (такая себе альтернатива)
SP
А какая альтернатива?
Готовые кубики, из которых решение собирается достаточно легко - на уровне конфигов. Ну и то - часто дефолты вполне себе едут.
SP
reOpenLDAP - сервер, тут всё очевидно.
nslcd - локальный демон, который ходит в LDAP, а уже к нему обращается pam_ldap.
phpLDAPAdmin - веб-интерфейс, который несложно (без PHP!) конфигурится под сущности, группы и т.д. именно твоего бизнес-процесса.
На клиенте ставишь только nss_pam_ldapd + его конфиг.
На сервере[-ах] - reOpenLDAP, веб - по необходимости.
Содержимое сервера можно бэкапить и провизить текстовыми LDIF-файлами (=здравствуй, git!)
Структура дерева - такая, какую захочешь (ну или минимизирующая поиск).
HA поддерживается «искаропки» (то бишь просто два сервера прописываешь в конфиге, fallback на стороне клиента работает норм).
Сложно? Зависит от навыков, умений и желания понимать, что конкретно происходит в каждом компоненте. Однако затыков, подобных тому, что в sssd, я не видел.
Но, справделивости ради, нужно поправить idle-таймаут на клиенте: по умолчанию там вроде большой был -> сама система отрубает соединение через два часа, и эта ситуация толком не обрабатывается.
nslcd - локальный демон, который ходит в LDAP, а уже к нему обращается pam_ldap.
phpLDAPAdmin - веб-интерфейс, который несложно (без PHP!) конфигурится под сущности, группы и т.д. именно твоего бизнес-процесса.
На клиенте ставишь только nss_pam_ldapd + его конфиг.
На сервере[-ах] - reOpenLDAP, веб - по необходимости.
Содержимое сервера можно бэкапить и провизить текстовыми LDIF-файлами (=здравствуй, git!)
Структура дерева - такая, какую захочешь (ну или минимизирующая поиск).
HA поддерживается «искаропки» (то бишь просто два сервера прописываешь в конфиге, fallback на стороне клиента работает норм).
Сложно? Зависит от навыков, умений и желания понимать, что конкретно происходит в каждом компоненте. Однако затыков, подобных тому, что в sssd, я не видел.
Но, справделивости ради, нужно поправить idle-таймаут на клиенте: по умолчанию там вроде большой был -> сама система отрубает соединение через два часа, и эта ситуация толком не обрабатывается.