de ez a :facepalm: kategória.. Hogya szórjunk el egy rakás pénzt... (nem, nem csak az MS felé visszaállással.. előtte is gondolom elszórtak egy rakat pénzt a LiMux* nevű cuccra, mert nyilván az sem magától működik)
Most meg mi ? Kitalálta valaki valahol, hogy innnye, csak vissza kellene térni erre a LiMux busnissre.. Balf.szkodás + politika + pénz. Az elején esetleg (még 2003 - NT4.0.. ) Microsofttal kellett volna leülni egyezkedni azt megkezdeni az átállást frissebb MS termékekre. Hah. Lehet így 2003-2020 között lenne már egy működő infrastruktúra ami adott esetben jól működik és lehet fele annyiba került mint amennyit most elköltenek arra, hogy oda-vissza-oda-vissza-vissza-oda... állás miatt..
Vagy áttértek volna nyílt forrúsú cuccokra, és ott is maradnak. Ráadásul nem valami saját fejlesztésű, széthekkelt dolog kellene, hanem fogni egy Red Hat-et, CentOS-t, vagy valami olyat, ami már készen van. Alkalmazást attól még lehet rá sajátot csinálni azon problémák megoldására, amire nem szállít a disztribúció megoldást.
Akár ez is lehetett volna. De nyilván nem nagyon ismerjük, hogy mit kellett volna kiváltani úgy kompletten.
Gondolom hozta volna magával a levelezés / calendar / stb funkciókat is. Amiket sok sikert összetákolni egy ilyen nagy infrastruktúrára, csak és kizárólag CentOS és vagy Ubuntu (és vagy Zentyal... brrr és társai) -val.
Redhatot azért nem hoztam ide, mert ott már van fizetős rész, hogy megkapd a supportot, stb. Ugyan ez a Novell féle megoldás. Szállítja a Novell Groupwise és társai a komplett (AD (itt eDir) -t levelezésestől mindenestől, stb) , de annak is ÁRA van. Láttam Novell féle árajánlatot és MS által kiajánlott verziót ugyan arra a "problémára". Nos tény, a Novelles "olcsóbb" volt, de utólag amennyi szívás lett vele, lehet jobban megérte volna az adott cégnek MS részen maradni kicsivel drágábban.
Szóval a Linuxnak is van díja, főleg ha Novell, Redhat, Suse (nem opensuse) vonalon gondolkozik az ember és akkor még mindig ott van rá az erőforrás, hogy azt össze is kell rakni. Azt üzemeltetni is kell. Jó nincs az OSnek külön kültsége, cserébe ugyan úgy van license költség... csak ezt sokan elfelejtik, mivel van egy olyan mentalitás, hogy "hát de én ezt összerakom gyorsba gyorsba ubunuval és centos-al ingyenesen! SAMBA AD lesz! Lesz SOGO, calendar meg minden) ... Aha. Ez a "garázs" verzió.
Viszont ha kiperkálod a Novell / RedHatnak az összeget, akkor megkapod a supportot (lvl szinttől függően),akár távolról nézegetik neked a cuccost, ha kell küldöd a logokat, coredumpokat, stb. és ha olyan a support szerződés, akkor küldenek neked külön patchet. (tapasztalat nem városi legenda + valakinek a valakije látott már ilyet)
Nem is akartam pro-kontrát írni. Legyen elég annyi, hogy a Novelles rendszernek is megvan a maga saját szopása és az MS alapú verziónak. :) De ezt hagyjuk is, nem akarok ilyen pro-kontrákba beleszállni.
Az AD a '90-es évek terméke, létjogosultsága mára erősen megkérdőjelezhető, gyakorlatilag a MS is abbahagyta a fejlesztését, és mindent tolnak a *cloud irányába.
Persze aki 2020-ban azzal akar szöszölni, hogy egyenként beállítja, hogy kinek mi legyen a háttérképe, meg azt, hogy melyik könyvtárat ki érheti el... hát egészségére.
Tudom hogy sok helyen még mindig ez meg: hálózati meghajtók, excel táblázatok körbeküldözgetése, stb. de ezt már nagyon el kellene felejteni, amikor ezeknél lényegesen jobb kooperációs eszközök is vannak, amik ráadásul normálisan működnek minden platformon.
Tényleg érdekel, hogy milyen létjogosultsága van ma az AD-nek, amit nem lehet kiváltani más (akár MS, akár Google vagy egyéb) szolgáltatásokkal, és legalább ugyanazt, ha nem többet tudja.
Persze aki 2020-ban azzal akar szöszölni, hogy egyenként beállítja, hogy kinek mi legyen a háttérképe, meg azt, hogy melyik könyvtárat ki érheti el... hát egészségére.
Pl. arra való, hogy ezekkel ne kelljen szöszölni és központi helyen lehessen beállítani.
Egyébként igen, ki lehet váltani más eszközökkel, de ez sose volt másként, már a 90-es években is ki lehetett, de MS OS-ek és MS programok esetén elég nehéz, hacsak nem az is egy fajta AD (pl. LDAP + Kerberos + ...).
Igazi nagyszámítógépes rendszerben nincs AD vagy bármilyen Microsoft termék. Még Unix is csak a technikai segédszámítógépben van, a tulajdonképpeni mainframe egyedi OS-t használ, amit az IBM, Siemens, etc gyártott.
Talán magyarázatként hozzáfűzném, hogy a hozzászólásomban én a nagy alatt nem számítógép kategóriát értettem, hanem nagyvállalati hálózatot, ahol sok gépen sok felhasználó dolgozik.
Persze, abban igazad van, hogy ennek is be lehet menni a mélységeibe mert nagyon vegyes a terület, de szerintem az életben nem érnénk ki belőle :-)
A nagyszámítógép egészen mást jelent ;-) Sajnos-nem sajnos az AD már túl van a fénykorán éppen hanyatló fázisban jár. Egy olyan korban született amikor még az IT biztonság nem volt ennyire központi téma és sajnos a mai világban elég nagy veszélyt rejt az üzemeltetése a nagy környezetek számára. Az AD felhasználásával elkövettett (privilégium emelés domain vagy enterprise admin-ig) kibertámadások száma exponenciálisan nő. A régi kényelemes üzemeltetés már a múlté ha implementálod ez erősen javasolt AD Tiering modell-t és nem állsz meg ott hanem a full ESAE alapján üzemeltetsz (https://securityboulevard.com/2019/06/red-forest-or-well-managed-active-directory/). Maga a Microsoft is azt javasolja hogy mindenki térjen át Azure Active Directory-ra és Intune policy-kre a kliens oldali menedzsmenthez teljes mértékben elhagyva a helyi AD-t ezen a területen. Ezzel ugyan cserbenhagyja a felhőtől ódzkodókat, de úgy néz ki az AD implementációs és koncepcionális problémáit már nem fogja megoldani... Érdekes világ lesz... +1 a GPOkról: https://myignite.techcommunity.microsoft.com/sessions/89356
"Felhő"-ből létezik saját is (pl. az említett nextcloud), bár tény hogy a MS sem ebbe az irányba tolja az embereket, hanem a nála hostolt onedrive felé.
Az AD már VPN-t is tud? A windows szerver talán tud, ha még nem szedték ki belőle, de tudtommal eddig az összes windows VPN biztonsági résekkel volt tele. Én még olyat nem láttam manapság, bárhol windows VPN-t használjanak.
De nem a VPN-el van bajom, hanem az AD-vel. A VPN egy nagyon hasznos technológia, én is szeretem, használom is.
A fájlmegosztás pedig csak az AD-nek egy ici-pici szelete, ami már jóval az AD előtt is létezett. Ez a leginkább 90-es évek beli része, ami az akkori Novell Netware koppintásaként jött létre. És abban az időben ez rendben is volt, amikor az IT infra iszonyat pénzekbe került.
Akkoriban jogos volt a központi tárolás, a jogosultságkezelés.
De mi maradt ebből mára? Ki akar azzal tökölni, hogy kinek milyen jogosultságai lehetnek egy hálózati meghajtón? Így korlátozni a hozzáférést egyébként sem GDPR compliant - már ahol arra van szükség. Ha védeni akarok egy fájlt, akkor endpoint encryption, semmi más nem jöhet szóba, és ez a felhős megoldásokat teljesen egyenértékűvé teszi.
A VPN emlegetése pedig nagyon jól felhívja a figyelmet az AD (és úgy általában a MS protokollok) másik "előnyére": hogy mennyire biztonságosak. Azért kell a VPN, mert nem bízunk meg benne annyira, hogy kiengedjük az internetre. Nem véletlenül, mert ebben is folyamatosan lyukakat találnak.
A windows file sharing egyetlen előnye, hogy viszonylag kényelmes cross-platform elérést biztosít, mert elterjedtsége révén minden OS-re van kliense (samba szerverre ma is tudok kapcsolódni windows 95 alól, de valószínű DOS-t is meg tudnám oldani). De ezen felül egy nagy nulla.
Ha ennyire van szükségem, akkor SFTP-t használok, ami linux alatt 0 konfigurációval működőképes (az ssh telepítésén túl). Az ssh-t ki merjük engedni az internetre is, alkalmas rá. Nem kell VPN-el vacakolnom, ha el akarom érni a fájlaimat. Linux alatt felmount-olom sshfs-el, és ugyanúgy működik, mint a windows hálózati meghajtó.
De erről beszélek, hogy efölött a világ elhaladt. A hálózatot nem csak az irodából akarom elérni. Nem csak egy példányt akarok tárolni a fájlokból, hanem szeretném ha a rendszer azokat verziózná. Local copy-t szeretnék, hogy út közben is tudjak dolgozni. Többen is akarunk dolgozni egy dokumentumon egyszerre.
Mivel voltak ilyen igények, ezekre születtek megoldások is: nextcloud, git, google docs.
Mit tud ebből az AD megoldani?
És az AD további funkcionalitásai: Címtár? Van rá 1000 más megoldás. Single sign-on? Szintén (pl. nextcloud is). Nyomtató-hozzáférés? Szerintem ezt hagyjuk. Windows beállítások hangolása (group policy): ki a franc foglalkozik vele?
Olyan problémákat nagyon jól megold, amikre nincs valós igény.
És az AD további funkcionalitásai: Címtár? Van rá 1000 más megoldás. Single sign-on? Szintén (pl. nextcloud is). Nyomtató-hozzáférés? Szerintem ezt hagyjuk. Windows beállítások hangolása (group policy): ki a franc foglalkozik vele?
oh. Jah a GroupPolicy lényege pont az hogy milyen színű legyen a háttered és hol legyen a startmenü .. aha ... facepalm
Jah címtár van rá ezer más megoldás. Említs meg egyet kérlek, ha már itt vagy, hogy milyen Címtár megoldást támogat pl egy Windows kliens ? (nem kell azzal jönni hogy Linux desktop, nem ez a kérdés)
És felsoroltál egy pár dolgot, hogy egy jól felépített AD-t, hogyan "lehetne" kiváltani. Ilyen programocska erre, olyan programocska arra, amolyan programocska amarra a feladatra.... Tehát szedd szét az egészet ami amúgy egybe van és központilag tudsz menedzselni mindent... is. De végülis.. jobb az ha össze van tákolva az egész több féle megoldásból:)
Ami Androiddal / iOS-el default-ból szinkronizál... Hogy az outlook nem kezeli? Ki a francot érdekel az outlook? Thunderbird meg gyönyörűen behoz bármilyen LDAP/CardDAV címtárat is, ha már ANNYIRA kell a desktop app.
Aminek volt értelme (bár ahhoz szintén nem kell AD) az a roaming profile volt, ami a win 9x időben még tényleg használható is volt, de az utóbbi 15 évben még egy gigabites LAN-on sem képes értelmes bejelentkezési időket produkálni.
Sajnos egyébként pont, hogy de. LDAP és LDAP között minimális a különbség, LDAP és AD között meg egy csomó backward compatbility legacy szemét, viszont az AD az elmúlt évtizedekben eljutott oda, hogy a legtöbb dolog vagy alapból támogatja, vagy hozzáilleszthető, ami a - szintén elismerhető takony, de... fix - séma miatt lehetséges. Ami tud LDAP-ból olvasni, az jó eséllyel mondjuk egy FreeIPA-hoz is illeszthető lenne, de a legtöbb esetben nincs meg hozzá készen a know-how, urambocsá' a vendor támogatása... (a nem-LDAP címtárak meg még nagyobb szopás, mert ott a protokoll se stimmel, azzal kell kezdeni)
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Ez pontosan a "megoldás egy nem létező problémára" kategória. Egy olyan rendszer, ami a kliens biztonságára épít eleve bukásra van ítélve.
És ezért fikázom úton-útfélen a group policy-t, mert a megoldás nem az, soha nem az, hogy a gépeket korlátozzuk távolról.
A rendszer akkor jó, ha azt használsz amit akarsz, mert a szerver oldal véd meg az ellen, hogy hülyeséget csinálj. A git pl. így működik. A wiki is így működik. Gyakorlatilag az összes modern webes szolgáltatás így működik. Hiába kompromittálódik a kliens, a szerveren az adatok biztonságban vannak.
Ezért terjed a BYOD, és ezért veszik ki az AD. Lehet hogy kell hozzá még 10 év, mire ezeket az archaikus megoldásokat elfelejtjük, de az hogy a MS mennyi energiát tol a fejlesztésébe, az nagyon jól mutatja hogy mi lesz a jövője.
>>> És ezért fikázom úton-útfélen a group policy-t, mert a megoldás nem az, soha nem az, hogy a gépeket korlátozzuk távolról.
Had kérdezzem meg, szerinted mire való a GPO-?
- Konkrétan hány éve állítgatod, hogy ilyen rossz véleménnyel vagy róla?
>>> Ez pontosan a "megoldás egy nem létező problémára" kategória. Egy olyan rendszer, ami a kliens biztonságára épít eleve bukásra van ítélve.
Bocsi, de foglalkoztál te már rendszer biztonsággal? Mi az hogy csak a kliens oldalon védünk a szervert meg nem?
Ha már ennyire fikázod a windows biztonsági rendszerét, had kérdezzem meg, hogy láttál te már egyáltalán windowst közelről, különösképpen az általad szidott windows szervert?
- Állítottál már be fájlmegosztás jogosultságot? Nyomtatómegosztás jogosultságot? (Habár tudom, hogy ez csak a legalja jogosultságbeállításoknak)
- nagyon kíváncsi vagyok a véleményedre hogy miért rossz használni a Domain Local, és Global csoportokat, egy finombeállítás során
>>> Ezért terjed a BYOD, és ezért veszik ki az AD.
Hogy jön ide a BYOD? Az hogy a felhasználó a saját gépét használja? Mi ennek a jelentősége?
- Pont az AD (és társai) teszik lehetővé ennek a használatát.
Nézted már, hogy mennyi portot kell kinyitni egy mezei AD-s hálózaton? És azt mennyi GPO-t kell csinálnod egy többszintes de amúgy fing hálózatban is? Aztán otthagyod a céget, mert találsz jobbat. Akit a helyedre felvesznek nem érti a doksijaidat és beszart az egész cég. Ez a baj az AD-vel. A remote support meg sokszor milyen? Napokat vagy heteket ülnek a problémán csak egy termelési cégnél ezzel nem lehet heteket sőt még napokat se nagyon várni.
Ja, úgy könnyű, ha nem létezőnek minősíted a problémát. Azért a kedvemért játsszunk el a gondolattal: mondjuk az előző hsz-ben megfogalmazott feladványt kaptad az IT biztonsági csapattól, miután az X külső auditáló szerv ezeket a megállapításokat tette. Szóval, hogyan oldod meg?
"A git pl. így működik." Remek, nézzünk egy példát erre. Egy privát repon dolgozom épp, az adott algoritmus üzleti titok. Bűnözők a kliens biztonságára nem építő környezetet kihasználva elhelyeznek egy ártó kódot a gépemen, ami az érintett algoritmust megvalósító kódot lemásolja és elküldi nekik. Kérlek mutasd be, miként is véd meg a szerveroldal ebben az esetben.
(Most/nem tul tavoli jovoben) Mivel a fontos doksid/algoritmusod is a felhoben tarolodik es webes interfeszen keresztul erheted el (bongeszobol pl online word, felhoben futo VS Code stb), tovabba a 2FA miatt eleg kicsi a kompromitalas lehetosege.
A kliens lehet hot egyszeru, (ergo ez nagyon is jot tesz a biztonsagnak, a kover klienssel szemben), konnyen menedzselheto.
Akar az egesz kliens rendszer felallhat egy read only image-bol addig amig fut. :)
Mert olyat még senki nem látott, hogy akármilyen beállítások mellett egy AD-s domain member gépre ilyenek felkerüljenek.
De erre is vannak megoldások, pl. 2FA. Egy telefonba épített HW security chip sokkal nehezebben megkerülhető, mint bármilyen AD védelem. Ezért mondom, hogy értelmetlen, elavult, mint maguk a jelszavak.
Az AD lényege nem a névlista, hanem a sokrétű, végletekig finomítható jogosultság kezelés.
Egy nagy számítógépes rendszerben ki mihez férhet hozzá az sarkalatos kérdés, nem az user választása.
Ahogy én tudom a cégek nem azt nézik jelenleg, hogy hogyan lehet kiröhögni az AD-t, hanem azt, hogy hogyan lehet hozzá interfészeket csinálni.
Persze az AD az űrből pottyant közénk minden előzmény nélkül hiszen volt már Kerberos, meg Novell 3.x
Volt amikor a Novell a későbbi eDirectorynak átkeresztelt rendszere mögül vigyorgott azon amikor a Microsoft azt bizonygatta az NT 4 domain rendszer mindenhatóságát. Aztán röviden szólva MS gondolt egyet és kihozta az Active Directory-t (Micsoda varázslatos névazonosság) és a földbedöngölte a Novell-t.
>>>
Aminek volt értelme (bár ahhoz szintén nem kell AD) az a roaming profile volt, ami a win 9x időben még tényleg használható is volt, de az utóbbi 15 évben még egy gigabites LAN-on sem képes értelmes bejelentkezési időket produkálni.
<<<
- Roaming profil : Kíváncsi lennék a megoldásodra (de tényleg), hogy:
- Egy nagyvállalati rendszerben ( tudom, hogy az az isten, de nem, nem felhő!) hogy állítod be, hogy egy Szombathelyi usernek dolga van a debreceni telehelyen, de hozzá kell férni a az otthoni, illetve a megadott debreceni nyomtatóhoz, a saját könyvtáraihoz, leveleihez. A marketing osztály összes dokumentumához, a Ker-osztályéhoz nem. És igen! Szereti a saját hátterét használni, és kérheti mert ő egy főosztályvezető.
Én nem értek a PC-s varázsláshoz szerencsére, ilyesmit csak felhasználói szinten használok, ha megy rajta az irodai programcsomag és az 5250-es emuláció és valamilyen böngésző, akkor elégedett arccal.
Ugyanakkor nagy cégeknél van szerencsém dolgozni és bizony hálózati drive-okon érem el a doksikat, oda is tolom fel és igen, van amelyiket nem láthatom, van amelyiket igen, ezt pedig valahogy be kell lőniük működőképesre. Megütötte egy mondatod a szememet, azt kérem fejtsed ki nekem, ha van rá módod! Ez a mondat a következő:
De mi maradt ebből mára? Ki akar azzal tökölni, hogy kinek milyen jogosultságai lehetnek egy hálózati meghajtón? Így korlátozni a hozzáférést egyébként sem GDPR compliant - már ahol arra van szükség. Ha védeni akarok egy fájlt, akkor endpoint encryption, semmi más nem jöhet szóba, és ez a felhős megoldásokat teljesen egyenértékűvé teszi.
Egyrészt tökölnek vele, én ezt látom, nem is keveset. A legtöbb doksiban vállalati tikok részletei vannak, már csak ezért is. A GDPR-rel nem is értem, hogyan függ ez össze, de mondom, én nem ezzel a szegmenssel foglalkozom, így kíváncsi lettem, mit tudsz, amit én nem látok. Harmadrészt ez az endpoint encryption nekem semmit nem mond. Egyszerűen nem tudok ezzel mit kezdeni. Ezeket tisztáznád nekem, hogy megokosodjak? Előre is köszi!
Az új Novelleket nem ismerem, de ne hidd, hogy a Win sokkal jobb. Folyamatosan elképesztő hibákat tudnak produkálni, amik elég meredek helyzeteket teremtenek mikor elkezdenek elveszni az adatok, leállni az addig működő szerverek minden előjel nélkül vagy épp évek óta megoldatlan egy több 10 milliós storage üzembehelyezése, ami linux-szal még működött (win-el is egyébként, csak az ms saját hyper-v-jéből nem). Ezek olyan szintű dolgok, hogy volt amikor már redmondból piszkálták a cuccokat. Ilyenkor mindig felmerül a kérdés bennem, hogy vajon megéri-e beleölni a zsák pénzt ezekbe. Persze vannak újabb megoldások MS irányából is de ez nem feltétlenül jelenti azt, hogy működik is. Van néhány Linux szerverünk érdekes módon velük nem igazán van gond csak teszik a dolgukat. Néha upgrade és minden megy tovább ahogy addig is.
- Indítsd újra a gépet! - Az egészet? - Nem, a felét...
"LiMux was the first Linux desktop distribution certified for industry use (ISO 9241) by the Technical Inspection Association. It was first based on Debian, but later changed to the most popular Debian derivative, Ubuntu. LiMux Client version 5.0 was released in November 2014, based on Ubuntu 12.04 LTS with KDE SC 4.12 as the desktop. The default office suite was LibreOffice 4.1. Mozilla Firefox and Mozilla Thunderbird were included in their Extended Support Release version."
Nem tudom, mit értesz széthekkelés alatt, de az ISO tanúsítvány megszerzéséhez a RedHat-et is szét kellett volna hekkelni.
A mi céges linuxunk is az aktuális Ubuntu LTS verzión szokott alapulni, saját repoval, saját biztonsági környezettel. És csak for your info: a linux munkaállomások bekerülési költsége 20-30%-al magasabb, mint a windows munkaállomásoké.
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods
Ki volt tárgyalva anno itt is biztos, hogy akkor mi indokolta a saját disztro kifejlesztését is. Ott lehetett volna a "hazai" openSuse vagy az Enterprise. Arra csak könnyebb lett volna migrálni az egész infrastruktúrát. Nem?
November 2008 — 1200 out of 14,000 have migrated to the LiMux environment (9%; March 2008: 1000=7%), in addition 12000 workstations use OpenOffice.org 2 installed on Windows (March 2008: 6000) and 100% use Mozilla Firefox 1.5 and Mozilla Thunderbird 1.5 (March 2008: 90%). 18,000 of 21,000 macros, templates and forms are changed into Linux-enabled.[20]
29 May 2008 — WollMux-software is declared Open Source[21]
31 December 2009 — The complete switch to OpenOffice.org enabling the Open Document Format as standard format is complete.[22]
June 2010 — "More than 3000" are LiMux-workplaces by now.[23]
In February 2011 — More than 5000 workplaces based on LiMux.
In June 2011 —More than 6500 workplaces based on LiMux.
17 December 2011 — "9000" PCs are LiMux-workplaces. They are 500 workplaces ahead of their goal for 2011.[24][25]
28 March 2012 — In response to a request from the CSU, the City reported that it has already saved about 4 million euros in licensing costs and reduced the number of support calls.[26]
March 2012: Monthly complaints dropped from 70 to a maximum of 46[27]
July 2012 — About 10,500 LiMux PC-workstations are operating.[28]
23 November 2012 — Savings from LiMux environment over 10 million euros.[29]
January 2013 — 13,000 LiMux PC-workstations are operating.[30]
October 2013 — Over 15,000 LiMux PC-workstations (of about 18,000 workstations)
December 2013 — Munich open-source switch was "completed successfully".[31]
August 2014 — Migration back to Windows under consideration.
October 2014 — In response to inquiries by the Green Party, mayor Dieter Reiter revealed that a transition back to Microsoft Windows would cost millions of euros.[32]
August/September 2015 — Jan-Marek Glogowski of LiMux presents about the project status during the "Debian Success Stories" track of the Debian conference[33] and at the LibreOffice conference.[34]
September 2016 - Microsoft moves its German headquarters to Munich[35]
February 2017 - Politicians discuss proposals to replace the Linux-based OS used across the council with a Windows 10-based client.[36]
October 2017 - Once seen as a stalwart supporter of open source, the city council last week said that running a Linux-based operating system on its PCs would not be cost efficient in the long run.[37]
November 2017 - The city council decided that LiMux will be replaced by a Windows-based infrastructure by the end of 2020. The costs for the migration are estimated to be around 90 million Euros.[38]
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods
A felhő a megoldás, az kevésbé kötött egy platformhoz.
Igen tudom, jajj ki adja a felhőt? Vagyis kitől vegyék a felhőt?
Végső soron lehet saját felhő is. Egy városról van szó, ott könnyebben megoldható.
Én azért a bérelt felhőt részesítem előnyben.
... ééés eljutottunk oda, hogy központi gépen levő, de OS van rajta :) Ha egyszer használatos Live image, akkor azt frissítgetni kell, ha NFS közös rootal, azt egyrészt frissítgetni kell, másrészt PITA, ha meg silver image alapján per user készített NFS izé, akkor azt kell karban tartani (+ ugye ezt az istentudjahány alkalmazás-kombinációra megoldani).
Félre ne érts, még élveznék is egy ilyet üzemeltetni (bár én sztem. maradnék az automatikus image-lős mókánál, hogy ne legyen SPOF a központi fájlszerver-klaszter és a hozzá vezető path), mert rendesen végig kell gondolni hozzá a dolgokat, de ne mondjuk azt, hogy ez az "egyszer beállítós" kategória.
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Jó, hát valahol nyilván meg kell csinálni. OS nélkül elég nehéz :D
De 1000x inkább egyetlen (vagy néhány) image-et karbantartani, mint több 100 vagy 1000 gépet egyesével.
Utána vérmérséklet kérdése, hogy lokális perzisztenciát megengedünk-e, vagy minden induláskor "tiszta lap", esetleg lokális perzisztencia távoli backup-al. De a mai böngésző-orientált világunkban szerintem teljesen jól használható akár perzisztencia nélkül is.
Debian live-al egyébként egész kulturáltan karban lehet tartani azt az image-et (csináltam, bár nem ilyen célból).
Jó, hát valahol nyilván meg kell csinálni. OS nélkül elég nehéz :D
Pont erre próbáltam felhívni a figyelmet a 0. perctől kezdve :) 18.000 gép (Wikin ezt írják, na :) ) azért nem az önjáró kategória.
Utána vérmérséklet kérdése, hogy lokális perzisztenciát megengedünk-e, vagy minden induláskor "tiszta lap",
Én az "induláskor tiszta lap, kivéve ha az admin megrugdossa" híve vagyok (a zárthelyi dolgozatok írásakor van tiszta lapos izé nálunk, a "jajúristenvéletlenkikapcsoltam"-tól az áramszünetig bármi lehet, a hallgató meg dühös tud lenni, ha több órányi munkája ugrott...)
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Ha csúnya, gonosz, kapitalista MS-párti szemét dög troll lennék, rámutatnék, hogy lehet azt Windows-alapon is, csak legyen, aki folyamatosan megfizeti és újratervezi a rendszert, amikor az MS épp megint irányt vált; klienseszközönként pár százezer JMF és az MS-es admin már majdnem tud olyan hatékony lenni, mint a zoknis-szandálos-szakállas-Linuxos egy SSH-val és a kliensekre tett publikus kulccsal :)
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Az a helyzet, hogy nincs az a pénz, amivel olyan jól használható és üzemeltethető rendszert tudnál faragni a Windowsból - feltéve, hogy nem veszed meg a forráskódját és nem írod át. Mert úgy persze könnyű :D
"A felhő a megoldás, az kevésbé kötött egy platformhoz."
Ezek a projektek inkább a politikáról szólnak, és nem a technikai érvelésről. Amikor a Linuxot kidobták, az azért volt, mert leváltották a garnitúrát, és nyilván ilyenkor ki kell p.csázni a rosszul eldöntött dolgokat. Az hogy rossz vagy nem rossz meg attól függ melyik évet írjuk és melyik párt mondja.
Nem, nem teljesen szántam viccnek. Olyan szinten igen, hogy ez lenne a 127. dolog, amire átállnak, de még mindig nem működik semmi rendesen...de az rpi elvinné a legtöbb önkoris munkaállomás szerepét, ez tény.
Médiában:
"Kedves adófizetők! Vizsgáljuk az átállás lehetőségét Linuxra, mert az ingyé van, és mert csökkenti az amierikaiaktól vállalatól való függőségünk. Mint ígértük a választások előtt, lefaragjuk a költségeket, és védjük a szabadságot. Machen wir München wieder großartig!"
Levél az MS -nek:
"Kedves Microsoft: régen söröztünk együtt, küldjétek a haverokat. Hozzanak egy kis píz a tanulmányra, hogy meg tudjuk győzni a választókat, hogy az MS olcsóbb."
Fél év múlva a médiában:
"Kedves adófizetők! Az átállás költséges, és az MS nagyszerű ajánlatot adott. Sikerült nagyon olcsón hozzájutni a szupernagyszerű, minden igényünket a lehető legjobban kielégítő office365 felhő szolgáltatás egy testre szabott verziójához. Minden szuper, és felhő, olcsóság, rugalmasság! A szabadság nincs veszélyben, mert az , adatainkat csak németországi szervereken fogják tárolni. Az MS becsszóra megígérte, hogy nem fogja átnézni az adatainkat élő ember. (Esetleg 1-2 developer, de csak néha.) München ist wieder großartig!"
Nem tudom, de úgy tűnik jön a spermanens "home office", mindenki azzal száll ringbe, amivel csak akar. - A cégnek meg 0 költség. - Nem hogy felhő-, még áram- sem.
Hozzászólások
Popcorn on!
Valami új ötlet arra mit különben ki sem kell fejezni? :D
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox
https://www.zdnet.com/article/linux-not-windows-why-munich-is-shifting-back-from-microsoft-to-open-source-again/
A cikkben linket cucc. Kicsit bővebb.
de ez a :facepalm: kategória.. Hogya szórjunk el egy rakás pénzt... (nem, nem csak az MS felé visszaállással.. előtte is gondolom elszórtak egy rakat pénzt a LiMux* nevű cuccra, mert nyilván az sem magától működik)
Most meg mi ? Kitalálta valaki valahol, hogy innnye, csak vissza kellene térni erre a LiMux busnissre.. Balf.szkodás + politika + pénz. Az elején esetleg (még 2003 - NT4.0.. ) Microsofttal kellett volna leülni egyezkedni azt megkezdeni az átállást frissebb MS termékekre. Hah. Lehet így 2003-2020 között lenne már egy működő infrastruktúra ami adott esetben jól működik és lehet fele annyiba került mint amennyit most elköltenek arra, hogy oda-vissza-oda-vissza-vissza-oda... állás miatt..
Vagy áttértek volna nyílt forrúsú cuccokra, és ott is maradnak. Ráadásul nem valami saját fejlesztésű, széthekkelt dolog kellene, hanem fogni egy Red Hat-et, CentOS-t, vagy valami olyat, ami már készen van. Alkalmazást attól még lehet rá sajátot csinálni azon problémák megoldására, amire nem szállít a disztribúció megoldást.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Akár ez is lehetett volna. De nyilván nem nagyon ismerjük, hogy mit kellett volna kiváltani úgy kompletten.
Gondolom hozta volna magával a levelezés / calendar / stb funkciókat is. Amiket sok sikert összetákolni egy ilyen nagy infrastruktúrára, csak és kizárólag CentOS és vagy Ubuntu (és vagy Zentyal... brrr és társai) -val.
Redhatot azért nem hoztam ide, mert ott már van fizetős rész, hogy megkapd a supportot, stb. Ugyan ez a Novell féle megoldás. Szállítja a Novell Groupwise és társai a komplett (AD (itt eDir) -t levelezésestől mindenestől, stb) , de annak is ÁRA van. Láttam Novell féle árajánlatot és MS által kiajánlott verziót ugyan arra a "problémára". Nos tény, a Novelles "olcsóbb" volt, de utólag amennyi szívás lett vele, lehet jobban megérte volna az adott cégnek MS részen maradni kicsivel drágábban.
Szóval a Linuxnak is van díja, főleg ha Novell, Redhat, Suse (nem opensuse) vonalon gondolkozik az ember és akkor még mindig ott van rá az erőforrás, hogy azt össze is kell rakni. Azt üzemeltetni is kell. Jó nincs az OSnek külön kültsége, cserébe ugyan úgy van license költség... csak ezt sokan elfelejtik, mivel van egy olyan mentalitás, hogy "hát de én ezt összerakom gyorsba gyorsba ubunuval és centos-al ingyenesen! SAMBA AD lesz! Lesz SOGO, calendar meg minden) ... Aha. Ez a "garázs" verzió.
Viszont ha kiperkálod a Novell / RedHatnak az összeget, akkor megkapod a supportot (lvl szinttől függően),akár távolról nézegetik neked a cuccost, ha kell küldöd a logokat, coredumpokat, stb. és ha olyan a support szerződés, akkor küldenek neked külön patchet. (tapasztalat nem városi legenda + valakinek a valakije látott már ilyet)
MS-nél sem jobb a helyzet, legfeljebb más.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Nem is akartam pro-kontrát írni. Legyen elég annyi, hogy a Novelles rendszernek is megvan a maga saját szopása és az MS alapú verziónak. :) De ezt hagyjuk is, nem akarok ilyen pro-kontrákba beleszállni.
Mikor jutunk el oda, hogy ezeket már elfelejtjük?
Az AD a '90-es évek terméke, létjogosultsága mára erősen megkérdőjelezhető, gyakorlatilag a MS is abbahagyta a fejlesztését, és mindent tolnak a *cloud irányába.
Persze aki 2020-ban azzal akar szöszölni, hogy egyenként beállítja, hogy kinek mi legyen a háttérképe, meg azt, hogy melyik könyvtárat ki érheti el... hát egészségére.
Tudom hogy sok helyen még mindig ez meg: hálózati meghajtók, excel táblázatok körbeküldözgetése, stb. de ezt már nagyon el kellene felejteni, amikor ezeknél lényegesen jobb kooperációs eszközök is vannak, amik ráadásul normálisan működnek minden platformon.
Végülis feldobhattak volna egy NextCloud -ot is és kalap kabát! :)
Biztos, hogy az AD erre jó csak? :)
Mire még?
Tényleg érdekel, hogy milyen létjogosultsága van ma az AD-nek, amit nem lehet kiváltani más (akár MS, akár Google vagy egyéb) szolgáltatásokkal, és legalább ugyanazt, ha nem többet tudja.
Pl. arra való, hogy ezekkel ne kelljen szöszölni és központi helyen lehessen beállítani.
Egyébként igen, ki lehet váltani más eszközökkel, de ez sose volt másként, már a 90-es években is ki lehetett, de MS OS-ek és MS programok esetén elég nehéz, hacsak nem az is egy fajta AD (pl. LDAP + Kerberos + ...).
TROLL ON
Tudom, hogy kicsit TROLL a kérdésem, de:
Gondolom még sosem jártál nagyszámítógépes rendszer közelében?
Esetleg meg kellene élőben nézned egy szépen beállított AD több száz (-ezer) userrel, több száz (-ezer) erőforrással!
Utána ezt megcsinálni bármivel amit mondtál! Épp csak annyira hogy legalább távolról integess neki.
Aztán ha végeztél, kezdheted utánozni a GPO-t
TROLL OFF
Trollabb
Igazi nagyszámítógépes rendszerben nincs AD vagy bármilyen Microsoft termék. Még Unix is csak a technikai segédszámítógépben van, a tulajdonképpeni mainframe egyedi OS-t használ, amit az IBM, Siemens, etc gyártott.
TROLL >> TROLLABB >> LEGTROLLABB :-D
A hozzászólásod jogos!
Talán magyarázatként hozzáfűzném, hogy a hozzászólásomban én a nagy alatt nem számítógép kategóriát értettem, hanem nagyvállalati hálózatot, ahol sok gépen sok felhasználó dolgozik.
Persze, abban igazad van, hogy ennek is be lehet menni a mélységeibe mert nagyon vegyes a terület, de szerintem az életben nem érnénk ki belőle :-)
A nagyszámítógép egészen mást jelent ;-) Sajnos-nem sajnos az AD már túl van a fénykorán éppen hanyatló fázisban jár. Egy olyan korban született amikor még az IT biztonság nem volt ennyire központi téma és sajnos a mai világban elég nagy veszélyt rejt az üzemeltetése a nagy környezetek számára. Az AD felhasználásával elkövettett (privilégium emelés domain vagy enterprise admin-ig) kibertámadások száma exponenciálisan nő. A régi kényelemes üzemeltetés már a múlté ha implementálod ez erősen javasolt AD Tiering modell-t és nem állsz meg ott hanem a full ESAE alapján üzemeltetsz (https://securityboulevard.com/2019/06/red-forest-or-well-managed-active-directory/). Maga a Microsoft is azt javasolja hogy mindenki térjen át Azure Active Directory-ra és Intune policy-kre a kliens oldali menedzsmenthez teljes mértékben elhagyva a helyi AD-t ezen a területen. Ezzel ugyan cserbenhagyja a felhőtől ódzkodókat, de úgy néz ki az AD implementációs és koncepcionális problémáit már nem fogja megoldani... Érdekes világ lesz... +1 a GPOkról: https://myignite.techcommunity.microsoft.com/sessions/89356
kéne -1 gomb
Mi a megoldás, ha privacy vagy egyéb stratégiai okokból nem bízol a felhőben? Akkor nem jobb egy céges Samba szerver, illetve VPN?
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
"Felhő"-ből létezik saját is (pl. az említett nextcloud), bár tény hogy a MS sem ebbe az irányba tolja az embereket, hanem a nála hostolt onedrive felé.
Az AD már VPN-t is tud? A windows szerver talán tud, ha még nem szedték ki belőle, de tudtommal eddig az összes windows VPN biztonsági résekkel volt tele. Én még olyat nem láttam manapság, bárhol windows VPN-t használjanak.
De nem a VPN-el van bajom, hanem az AD-vel. A VPN egy nagyon hasznos technológia, én is szeretem, használom is.
A fájlmegosztás pedig csak az AD-nek egy ici-pici szelete, ami már jóval az AD előtt is létezett. Ez a leginkább 90-es évek beli része, ami az akkori Novell Netware koppintásaként jött létre. És abban az időben ez rendben is volt, amikor az IT infra iszonyat pénzekbe került.
Akkoriban jogos volt a központi tárolás, a jogosultságkezelés.
De mi maradt ebből mára? Ki akar azzal tökölni, hogy kinek milyen jogosultságai lehetnek egy hálózati meghajtón? Így korlátozni a hozzáférést egyébként sem GDPR compliant - már ahol arra van szükség. Ha védeni akarok egy fájlt, akkor endpoint encryption, semmi más nem jöhet szóba, és ez a felhős megoldásokat teljesen egyenértékűvé teszi.
A VPN emlegetése pedig nagyon jól felhívja a figyelmet az AD (és úgy általában a MS protokollok) másik "előnyére": hogy mennyire biztonságosak. Azért kell a VPN, mert nem bízunk meg benne annyira, hogy kiengedjük az internetre. Nem véletlenül, mert ebben is folyamatosan lyukakat találnak.
A windows file sharing egyetlen előnye, hogy viszonylag kényelmes cross-platform elérést biztosít, mert elterjedtsége révén minden OS-re van kliense (samba szerverre ma is tudok kapcsolódni windows 95 alól, de valószínű DOS-t is meg tudnám oldani). De ezen felül egy nagy nulla.
Ha ennyire van szükségem, akkor SFTP-t használok, ami linux alatt 0 konfigurációval működőképes (az ssh telepítésén túl). Az ssh-t ki merjük engedni az internetre is, alkalmas rá. Nem kell VPN-el vacakolnom, ha el akarom érni a fájlaimat. Linux alatt felmount-olom sshfs-el, és ugyanúgy működik, mint a windows hálózati meghajtó.
De erről beszélek, hogy efölött a világ elhaladt. A hálózatot nem csak az irodából akarom elérni. Nem csak egy példányt akarok tárolni a fájlokból, hanem szeretném ha a rendszer azokat verziózná. Local copy-t szeretnék, hogy út közben is tudjak dolgozni. Többen is akarunk dolgozni egy dokumentumon egyszerre.
Mivel voltak ilyen igények, ezekre születtek megoldások is: nextcloud, git, google docs.
Mit tud ebből az AD megoldani?
És az AD további funkcionalitásai: Címtár? Van rá 1000 más megoldás. Single sign-on? Szintén (pl. nextcloud is). Nyomtató-hozzáférés? Szerintem ezt hagyjuk. Windows beállítások hangolása (group policy): ki a franc foglalkozik vele?
Olyan problémákat nagyon jól megold, amikre nincs valós igény.
uh
oh. Jah a GroupPolicy lényege pont az hogy milyen színű legyen a háttered és hol legyen a startmenü .. aha ... facepalm
Jah címtár van rá ezer más megoldás. Említs meg egyet kérlek, ha már itt vagy, hogy milyen Címtár megoldást támogat pl egy Windows kliens ? (nem kell azzal jönni hogy Linux desktop, nem ez a kérdés)
És felsoroltál egy pár dolgot, hogy egy jól felépített AD-t, hogyan "lehetne" kiváltani. Ilyen programocska erre, olyan programocska arra, amolyan programocska amarra a feladatra.... Tehát szedd szét az egészet ami amúgy egybe van és központilag tudsz menedzselni mindent... is. De végülis.. jobb az ha össze van tákolva az egész több féle megoldásból:)
Egy szóval nem mondtam, hogy a group policy kimerül a háttér beállításában.
Azt mondtam, hogy a mai böngészőorientált világban senkit nem érdekel, hogy a gépen mi fut és hogy hogyan van beállítva, onnantól hogy fut a böngésző.
Címtár, nem is tudom, pl. ez a "garázs" termék: https://contacts.google.com/
Ami Androiddal / iOS-el default-ból szinkronizál... Hogy az outlook nem kezeli? Ki a francot érdekel az outlook? Thunderbird meg gyönyörűen behoz bármilyen LDAP/CardDAV címtárat is, ha már ANNYIRA kell a desktop app.
Aminek volt értelme (bár ahhoz szintén nem kell AD) az a roaming profile volt, ami a win 9x időben még tényleg használható is volt, de az utóbbi 15 évben még egy gigabites LAN-on sem képes értelmes bejelentkezési időket produkálni.
A címtárat és a névjegytárat kevered.
Üdv,
Marci
Elnézést, hogy elkevertem a terminológiát.
Lényeg a lényeg, az LDAP csak az AD egy része, ezer más LDAP megoldás létezik. Önmagában nem érv az AD mellett.
Sajnos egyébként pont, hogy de. LDAP és LDAP között minimális a különbség, LDAP és AD között meg egy csomó backward compatbility legacy szemét, viszont az AD az elmúlt évtizedekben eljutott oda, hogy a legtöbb dolog vagy alapból támogatja, vagy hozzáilleszthető, ami a - szintén elismerhető takony, de... fix - séma miatt lehetséges. Ami tud LDAP-ból olvasni, az jó eséllyel mondjuk egy FreeIPA-hoz is illeszthető lenne, de a legtöbb esetben nincs meg hozzá készen a know-how, urambocsá' a vendor támogatása... (a nem-LDAP címtárak meg még nagyobb szopás, mert ott a protokoll se stimmel, azzal kell kezdeni)
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Érdekel, hogy "a mai böngészőorientált világban" hogyan oldod meg, hogy
-a bérszámfejtők böngészője (Chrome a böngésző) a JavaScriptet csak a https://ber.ceg.hu oldalon futtassa, továbbá
-az összes böngésző (Chrome) TLS 1.2-t használjon, kivéve azoké, akiknek a térinformatikai rendszer használata engedélyezett.
Üdv,
Marci
Ez pontosan a "megoldás egy nem létező problémára" kategória. Egy olyan rendszer, ami a kliens biztonságára épít eleve bukásra van ítélve.
És ezért fikázom úton-útfélen a group policy-t, mert a megoldás nem az, soha nem az, hogy a gépeket korlátozzuk távolról.
A rendszer akkor jó, ha azt használsz amit akarsz, mert a szerver oldal véd meg az ellen, hogy hülyeséget csinálj. A git pl. így működik. A wiki is így működik. Gyakorlatilag az összes modern webes szolgáltatás így működik. Hiába kompromittálódik a kliens, a szerveren az adatok biztonságban vannak.
Ezért terjed a BYOD, és ezért veszik ki az AD. Lehet hogy kell hozzá még 10 év, mire ezeket az archaikus megoldásokat elfelejtjük, de az hogy a MS mennyi energiát tol a fejlesztésébe, az nagyon jól mutatja hogy mi lesz a jövője.
>>> És ezért fikázom úton-útfélen a group policy-t, mert a megoldás nem az, soha nem az, hogy a gépeket korlátozzuk távolról.
Had kérdezzem meg, szerinted mire való a GPO-?
- Konkrétan hány éve állítgatod, hogy ilyen rossz véleménnyel vagy róla?
>>> Ez pontosan a "megoldás egy nem létező problémára" kategória. Egy olyan rendszer, ami a kliens biztonságára épít eleve bukásra van ítélve.
Bocsi, de foglalkoztál te már rendszer biztonsággal? Mi az hogy csak a kliens oldalon védünk a szervert meg nem?
Ha már ennyire fikázod a windows biztonsági rendszerét, had kérdezzem meg, hogy láttál te már egyáltalán windowst közelről, különösképpen az általad szidott windows szervert?
- Állítottál már be fájlmegosztás jogosultságot? Nyomtatómegosztás jogosultságot? (Habár tudom, hogy ez csak a legalja jogosultságbeállításoknak)
- nagyon kíváncsi vagyok a véleményedre hogy miért rossz használni a Domain Local, és Global csoportokat, egy finombeállítás során
>>> Ezért terjed a BYOD, és ezért veszik ki az AD.
Hogy jön ide a BYOD? Az hogy a felhasználó a saját gépét használja? Mi ennek a jelentősége?
- Pont az AD (és társai) teszik lehetővé ennek a használatát.
Nézted már, hogy mennyi portot kell kinyitni egy mezei AD-s hálózaton? És azt mennyi GPO-t kell csinálnod egy többszintes de amúgy fing hálózatban is? Aztán otthagyod a céget, mert találsz jobbat. Akit a helyedre felvesznek nem érti a doksijaidat és beszart az egész cég. Ez a baj az AD-vel. A remote support meg sokszor milyen? Napokat vagy heteket ülnek a problémán csak egy termelési cégnél ezzel nem lehet heteket sőt még napokat se nagyon várni.
Ja, úgy könnyű, ha nem létezőnek minősíted a problémát. Azért a kedvemért játsszunk el a gondolattal: mondjuk az előző hsz-ben megfogalmazott feladványt kaptad az IT biztonsági csapattól, miután az X külső auditáló szerv ezeket a megállapításokat tette. Szóval, hogyan oldod meg?
"A git pl. így működik." Remek, nézzünk egy példát erre. Egy privát repon dolgozom épp, az adott algoritmus üzleti titok. Bűnözők a kliens biztonságára nem építő környezetet kihasználva elhelyeznek egy ártó kódot a gépemen, ami az érintett algoritmust megvalósító kódot lemásolja és elküldi nekik. Kérlek mutasd be, miként is véd meg a szerveroldal ebben az esetben.
Üdv,
Marci
Hát lefut a szerveroldali git-hook, ami kopasz üzletembereket küld a hekker IP címére. :)
Másik opció: az algoritmusod nem is fontos, mesterségesen generált igény (mint az AD).
Csak eljatszva a gondolattal (nem git kapcsan):
(Most/nem tul tavoli jovoben) Mivel a fontos doksid/algoritmusod is a felhoben tarolodik es webes interfeszen keresztul erheted el (bongeszobol pl online word, felhoben futo VS Code stb), tovabba a 2FA miatt eleg kicsi a kompromitalas lehetosege.
A kliens lehet hot egyszeru, (ergo ez nagyon is jot tesz a biztonsagnak, a kover klienssel szemben), konnyen menedzselheto.
Akar az egesz kliens rendszer felallhat egy read only image-bol addig amig fut. :)
Tudom, vot ma kategoria a tortenelemben.
Keylogger, böngésző profil másoló és további malwarek kedveli ezt.
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Mert olyat még senki nem látott, hogy akármilyen beállítások mellett egy AD-s domain member gépre ilyenek felkerüljenek.
De erre is vannak megoldások, pl. 2FA. Egy telefonba épített HW security chip sokkal nehezebben megkerülhető, mint bármilyen AD védelem. Ezért mondom, hogy értelmetlen, elavult, mint maguk a jelszavak.
Fenntartva a fent hozzászólásomat:
Az AD lényege nem a névlista, hanem a sokrétű, végletekig finomítható jogosultság kezelés.
Egy nagy számítógépes rendszerben ki mihez férhet hozzá az sarkalatos kérdés, nem az user választása.
Ahogy én tudom a cégek nem azt nézik jelenleg, hogy hogyan lehet kiröhögni az AD-t, hanem azt, hogy hogyan lehet hozzá interfészeket csinálni.
Persze az AD az űrből pottyant közénk minden előzmény nélkül hiszen volt már Kerberos, meg Novell 3.x
Volt amikor a Novell a későbbi eDirectorynak átkeresztelt rendszere mögül vigyorgott azon amikor a Microsoft azt bizonygatta az NT 4 domain rendszer mindenhatóságát. Aztán röviden szólva MS gondolt egyet és kihozta az Active Directory-t (Micsoda varázslatos névazonosság) és a földbedöngölte a Novell-t.
>>>
Aminek volt értelme (bár ahhoz szintén nem kell AD) az a roaming profile volt, ami a win 9x időben még tényleg használható is volt, de az utóbbi 15 évben még egy gigabites LAN-on sem képes értelmes bejelentkezési időket produkálni.
<<<
- Roaming profil : Kíváncsi lennék a megoldásodra (de tényleg), hogy:
- Egy nagyvállalati rendszerben ( tudom, hogy az az isten, de nem, nem felhő!) hogy állítod be, hogy egy Szombathelyi usernek dolga van a debreceni telehelyen, de hozzá kell férni a az otthoni, illetve a megadott debreceni nyomtatóhoz, a saját könyvtáraihoz, leveleihez. A marketing osztály összes dokumentumához, a Ker-osztályéhoz nem. És igen! Szereti a saját hátterét használni, és kérheti mert ő egy főosztályvezető.
Én nem értek a PC-s varázsláshoz szerencsére, ilyesmit csak felhasználói szinten használok, ha megy rajta az irodai programcsomag és az 5250-es emuláció és valamilyen böngésző, akkor elégedett arccal.
Ugyanakkor nagy cégeknél van szerencsém dolgozni és bizony hálózati drive-okon érem el a doksikat, oda is tolom fel és igen, van amelyiket nem láthatom, van amelyiket igen, ezt pedig valahogy be kell lőniük működőképesre. Megütötte egy mondatod a szememet, azt kérem fejtsed ki nekem, ha van rá módod! Ez a mondat a következő:
Egyrészt tökölnek vele, én ezt látom, nem is keveset. A legtöbb doksiban vállalati tikok részletei vannak, már csak ezért is. A GDPR-rel nem is értem, hogyan függ ez össze, de mondom, én nem ezzel a szegmenssel foglalkozom, így kíváncsi lettem, mit tudsz, amit én nem látok. Harmadrészt ez az endpoint encryption nekem semmit nem mond. Egyszerűen nem tudok ezzel mit kezdeni. Ezeket tisztáznád nekem, hogy megokosodjak? Előre is köszi!
Szerintem is, bámulatosan keveset tudsz az AD-ról, nem érdemes itt égetni magad. :)
Mindenki, akinek ötnél több windows-os gépet kell üzemeltetnie.
Az új Novelleket nem ismerem, de ne hidd, hogy a Win sokkal jobb. Folyamatosan elképesztő hibákat tudnak produkálni, amik elég meredek helyzeteket teremtenek mikor elkezdenek elveszni az adatok, leállni az addig működő szerverek minden előjel nélkül vagy épp évek óta megoldatlan egy több 10 milliós storage üzembehelyezése, ami linux-szal még működött (win-el is egyébként, csak az ms saját hyper-v-jéből nem). Ezek olyan szintű dolgok, hogy volt amikor már redmondból piszkálták a cuccokat. Ilyenkor mindig felmerül a kérdés bennem, hogy vajon megéri-e beleölni a zsák pénzt ezekbe. Persze vannak újabb megoldások MS irányából is de ez nem feltétlenül jelenti azt, hogy működik is. Van néhány Linux szerverünk érdekes módon velük nem igazán van gond csak teszik a dolgukat. Néha upgrade és minden megy tovább ahogy addig is.
- Indítsd újra a gépet! - Az egészet? - Nem, a felét...
"LiMux was the first Linux desktop distribution certified for industry use (ISO 9241) by the Technical Inspection Association. It was first based on Debian, but later changed to the most popular Debian derivative, Ubuntu. LiMux Client version 5.0 was released in November 2014, based on Ubuntu 12.04 LTS with KDE SC 4.12 as the desktop. The default office suite was LibreOffice 4.1. Mozilla Firefox and Mozilla Thunderbird were included in their Extended Support Release version."
Nem tudom, mit értesz széthekkelés alatt, de az ISO tanúsítvány megszerzéséhez a RedHat-et is szét kellett volna hekkelni.
A mi céges linuxunk is az aktuális Ubuntu LTS verzión szokott alapulni, saját repoval, saját biztonsági környezettel. És csak for your info: a linux munkaállomások bekerülési költsége 20-30%-al magasabb, mint a windows munkaállomásoké.
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods
Az a + 20-30% hogy jön ki?
Nekem úgy tűnik, hogy MS Win esetén a hardverigény is magasabb és a szoftverköltség is.
- Indítsd újra a gépet! - Az egészet? - Nem, a felét...
"Kuss! Én így szállok le a bicikliről!" :D
Ki volt tárgyalva anno itt is biztos, hogy akkor mi indokolta a saját disztro kifejlesztését is. Ott lehetett volna a "hazai" openSuse vagy az Enterprise. Arra csak könnyebb lett volna migrálni az egész infrastruktúrát. Nem?
És ez vajon mennyiben fájt az adófizetőknek?
Ilyet haroldking ingyen ír 10 perc alatt.
Felhívnám a szíves figyelmedet arra, hogy ezt únijós pénzből követték el.
Ahhoz képest pedig meglepően értelmes "mondanivalóval" van kitömve. :D
Örök emlék, amikor a falusi turizmus pályázatban a nem elszámolható költségek között fel volt tüntetve a részecskegyorsító és az atom reaktor.
Ez inkább politikai döntés, mint szakmai. Bár nem néztem részletesen utána, de mintha a csiki-csuki alatt a politikai vezetés is változott volna.
üdv: pomm
A 852-es kídlap telepötúsa sikeresen befejezádétt
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods
Satya már vette is a repülőjegyet. Úgy láccik megint szét kell csapni ott a városvezetésben. Remélem lóvét visz.
GPLv3-as hozzászólás.
A felhő a megoldás, az kevésbé kötött egy platformhoz.
Igen tudom, jajj ki adja a felhőt? Vagyis kitől vegyék a felhőt?
Végső soron lehet saját felhő is. Egy városról van szó, ott könnyebben megoldható.
Én azért a bérelt felhőt részesítem előnyben.
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox
És a desktopokon a felhő hogy segít?
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Ráspoly+böngésző minden városszolgának!
... amivel visszajutottunk oda, hogy a kliensekre kell egy (még ha minimális is, de...) Linux telepítés, amit valahogy karban kell tartani :)
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Miért is? Ha én ilyen gépmennyiséget kezelnék, biztosan nem telepítenék egyetlen gépet sem, hanem diskless node-okat csinálnék, pl. debian live-al.
De ám legyen tároló a gépekben, akkor pedig időnként mirrorolnám őket a szerverről, az is járható út.
... ééés eljutottunk oda, hogy központi gépen levő, de OS van rajta :) Ha egyszer használatos Live image, akkor azt frissítgetni kell, ha NFS közös rootal, azt egyrészt frissítgetni kell, másrészt PITA, ha meg silver image alapján per user készített NFS izé, akkor azt kell karban tartani (+ ugye ezt az istentudjahány alkalmazás-kombinációra megoldani).
Félre ne érts, még élveznék is egy ilyet üzemeltetni (bár én sztem. maradnék az automatikus image-lős mókánál, hogy ne legyen SPOF a központi fájlszerver-klaszter és a hozzá vezető path), mert rendesen végig kell gondolni hozzá a dolgokat, de ne mondjuk azt, hogy ez az "egyszer beállítós" kategória.
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Jó, hát valahol nyilván meg kell csinálni. OS nélkül elég nehéz :D
De 1000x inkább egyetlen (vagy néhány) image-et karbantartani, mint több 100 vagy 1000 gépet egyesével.
Utána vérmérséklet kérdése, hogy lokális perzisztenciát megengedünk-e, vagy minden induláskor "tiszta lap", esetleg lokális perzisztencia távoli backup-al. De a mai böngésző-orientált világunkban szerintem teljesen jól használható akár perzisztencia nélkül is.
Debian live-al egyébként egész kulturáltan karban lehet tartani azt az image-et (csináltam, bár nem ilyen célból).
Imho én már kétszámjegyű gépparknál elgondolkodnék, hogy biztosan az egyesével karbantartás-e a jó megoldás. :)
Pont erre próbáltam felhívni a figyelmet a 0. perctől kezdve :) 18.000 gép (Wikin ezt írják, na :) ) azért nem az önjáró kategória.
Én az "induláskor tiszta lap, kivéve ha az admin megrugdossa" híve vagyok (a zárthelyi dolgozatok írásakor van tiszta lapos izé nálunk, a "jajúristenvéletlenkikapcsoltam"-tól az áramszünetig bármi lehet, a hallgató meg dühös tud lenni, ha több órányi munkája ugrott...)
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
de ne mondjuk azt, hogy ez az "egyszer beállítós" kategória.
Lehet, de ezres nagyságrendben szerintem így is nagyon látványosan kevesebb meló ezt Linuxon üzemeltetni, mint Windows desktopokkal.
Ha csúnya, gonosz, kapitalista MS-párti szemét dög troll lennék, rámutatnék, hogy lehet azt Windows-alapon is, csak legyen, aki folyamatosan megfizeti és újratervezi a rendszert, amikor az MS épp megint irányt vált; klienseszközönként pár százezer JMF és az MS-es admin már majdnem tud olyan hatékony lenni, mint a zoknis-szandálos-szakállas-Linuxos egy SSH-val és a kliensekre tett publikus kulccsal :)
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
:D
Az a helyzet, hogy nincs az a pénz, amivel olyan jól használható és üzemeltethető rendszert tudnál faragni a Windowsból - feltéve, hogy nem veszed meg a forráskódját és nem írod át. Mert úgy persze könnyű :D
Azt nem tudom, de hogy a mostani aszályban jól jönne, az biztos!
"A felhő a megoldás, az kevésbé kötött egy platformhoz."
Ezek a projektek inkább a politikáról szólnak, és nem a technikai érvelésről. Amikor a Linuxot kidobták, az azért volt, mert leváltották a garnitúrát, és nyilván ilyenkor ki kell p.csázni a rosszul eldöntött dolgokat. Az hogy rossz vagy nem rossz meg attól függ melyik évet írjuk és melyik párt mondja.
Részben így van. Másik részről annak idején utánanéztem, meddig jutott a Limux és nem kápráztatott el.
Üdv,
Marci
Fel kell még fedezni újra az írógépeket, az is egy remek migráció és sok embernek lehet munkát adni vele.
Utána jöhetne még egy Apple Mac migráció, csak mert olyan még nem volt.
Utána fel lehet fedezni a Windowsba rakott Linuxot.
A sor hosszú, én bevezetném valamikor a RPI munkaállomásokat is. :)
Gondolom viccnek szántad, de az önkormányzatok munkaállomásainak nagyon nagy aránya valóban kiváltható lenne egy RPI szintű géppel.
Nem, nem teljesen szántam viccnek. Olyan szinten igen, hogy ez lenne a 127. dolog, amire átállnak, de még mindig nem működik semmi rendesen...de az rpi elvinné a legtöbb önkoris munkaállomás szerepét, ez tény.
Médiában:
"Kedves adófizetők! Vizsgáljuk az átállás lehetőségét Linuxra, mert az ingyé van, és mert csökkenti az amierikaiaktól vállalatól való függőségünk. Mint ígértük a választások előtt, lefaragjuk a költségeket, és védjük a szabadságot. Machen wir München wieder großartig!"
Levél az MS -nek:
"Kedves Microsoft: régen söröztünk együtt, küldjétek a haverokat. Hozzanak egy kis píz a tanulmányra, hogy meg tudjuk győzni a választókat, hogy az MS olcsóbb."
Fél év múlva a médiában:
"Kedves adófizetők! Az átállás költséges, és az MS nagyszerű ajánlatot adott. Sikerült nagyon olcsón hozzájutni a szupernagyszerű, minden igényünket a lehető legjobban kielégítő office365 felhő szolgáltatás egy testre szabott verziójához. Minden szuper, és felhő, olcsóság, rugalmasság! A szabadság nincs veszélyben, mert az , adatainkat csak németországi szervereken fogják tárolni. Az MS becsszóra megígérte, hogy nem fogja átnézni az adatainkat élő ember. (Esetleg 1-2 developer, de csak néha.) München ist wieder großartig!"
Nem tudom, de úgy tűnik jön a spermanens "home office", mindenki azzal száll ringbe, amivel csak akar. - A cégnek meg 0 költség. - Nem hogy felhő-, még áram- sem.
Mit írt erről a PC Fórum?
trey @ gépház
Ott már az apró betűsben lehet a bp-t emlegetik befutó kliensként. :-)
Mit? Tényleg érdekelne.