forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуск Samba 4.17.0"
Отправлено Аноним, 22-Сен-22 11:21

> И тут мы вспоминаем, что крупнейшие корпорации не используют AD: Apple, Google, IBM, и т..д
Крупные транснациональные ИТ-корпорации создают с нуля для себя не только каталоги, но и целые ОС и железо.
Не понятно как такое применяется, например к крупному Retail-у или производству на заводе. У заводов и ритейлов нет консьюмерского рынка по продаж ИТ-услуг, у них другой бизнес. ПО в таком бизнесе преимущественно разрабатывается для задач MDM, то есть это SAP, 1C, AXAPTA и прочие. Тёплое с мягким не сравниваем. То что гуглу не нужно AD это вообще ничего не значит.
> Kerberos в бэкенде тоже LDAP использует, а не из астрала берет данные...
Я уже писал выше, что это совсем не та проблема о которой стоит заботиться. В каталогах которых много разных приложений и когда производительность самого каталога имеет высокое значение и так много всего "замедляющего" в схеме. Поддержка просовывания атрибутов прямо внутрь билетов Kerberos (это функционал 5-й версии протокола) приводят чуть ли не к удваиванию требуемы ресурсов, чтобы сохранить производительность, а некоторым и это нужно.
Скорость АУТЕНТИФИКАЦИИ (хватит уже путать её с авторизацией) пользователя по Kerberos - это не повод выковыривать из схемы OU. Кроме того она не часто происходит, если у вас ОС поддерживает Kerberos. В Linux безотносительно FreeIPA/AD вы не можете предъявить закешированный TGT для получения TGS, поэтому если у вас много сервисов завязанных на Kerberos... Самый лучший способ ускорить это всё избавиться от Linux как от ОС на рабочих станциях. Это сократит вдвое количество запросов к KDC и прекратит насилие над пользователем постоянными переспрашиваниями логинов и паролей по 10 раз на дню. И никакая FreeIPA не решит эту проблему, потому что она не там. Чтобы решить это в Linux нужно выкинуть PAM, потому что эта подсистема не способна by-design понять некоторые вещи.
> Что мешает к Configuration привязывать группы?
В основном имеющаяся схема и здравый смысл.
> Синхронизация групп даже здесь будет проходить быстрее.
Да всем начхать на эту скорость, если функционал не подходит. Синхронизация AD притянет не только пользователей но и чужие группы. Таков Exchange, он использует и группы безопасности и группы рассылки для работы с почтой и куча других сущностей каталога, а не только пользователей. Синхронизация притянет много всего и OU выступает в роли контейнера. А ты предлагаешь пихать группы в группы, когда группы имеют одинаковые названия а потом этой кашей рулить? Так никто не делает и не будет делать. Вот за такой вот бред FreeIPA и всё её сообщество не во что не ставят.

Исходное сообщение
"Выпуск Samba 4.17.0" Отправлено Аноним, 22-Сен-22 11:21
> И тут мы вспоминаем, что крупнейшие корпорации не используют AD: Apple, Google, IBM, и т..д Крупные транснациональные ИТ-корпорации создают с нуля для себя не только каталоги, но и целые ОС и железо. Не понятно как такое применяется, например к крупному Retail-у или производству на заводе. У заводов и ритейлов нет консьюмерского рынка по продаж ИТ-услуг, у них другой бизнес. ПО в таком бизнесе преимущественно разрабатывается для задач MDM, то есть это SAP, 1C, AXAPTA и прочие. Тёплое с мягким не сравниваем. То что гуглу не нужно AD это вообще ничего не значит. > Kerberos в бэкенде тоже LDAP использует, а не из астрала берет данные... Я уже писал выше, что это совсем не та проблема о которой стоит заботиться. В каталогах которых много разных приложений и когда производительность самого каталога имеет высокое значение и так много всего "замедляющего" в схеме. Поддержка просовывания атрибутов прямо внутрь билетов Kerberos (это функционал 5-й версии протокола) приводят чуть ли не к удваиванию требуемы ресурсов, чтобы сохранить производительность, а некоторым и это нужно. Скорость АУТЕНТИФИКАЦИИ (хватит уже путать её с авторизацией) пользователя по Kerberos - это не повод выковыривать из схемы OU. Кроме того она не часто происходит, если у вас ОС поддерживает Kerberos. В Linux безотносительно FreeIPA/AD вы не можете предъявить закешированный TGT для получения TGS, поэтому если у вас много сервисов завязанных на Kerberos... Самый лучший способ ускорить это всё избавиться от Linux как от ОС на рабочих станциях. Это сократит вдвое количество запросов к KDC и прекратит насилие над пользователем постоянными переспрашиваниями логинов и паролей по 10 раз на дню. И никакая FreeIPA не решит эту проблему, потому что она не там. Чтобы решить это в Linux нужно выкинуть PAM, потому что эта подсистема не способна by-design понять некоторые вещи. > Что мешает к Configuration привязывать группы? В основном имеющаяся схема и здравый смысл. > Синхронизация групп даже здесь будет проходить быстрее. Да всем начхать на эту скорость, если функционал не подходит. Синхронизация AD притянет не только пользователей но и чужие группы. Таков Exchange, он использует и группы безопасности и группы рассылки для работы с почтой и куча других сущностей каталога, а не только пользователей. Синхронизация притянет много всего и OU выступает в роли контейнера. А ты предлагаешь пихать группы в группы, когда группы имеют одинаковые названия а потом этой кашей рулить? Так никто не делает и не будет делать. Вот за такой вот бред FreeIPA и всё её сообщество не во что не ставят.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> И тут мы вспоминаем, что крупнейшие корпорации не используют AD: Apple, Google, IBM, и т..д

> Крупные транснациональные ИТ-корпорации создают с нуля для себя не только каталоги, но 
> и целые ОС и железо.
> Не понятно как такое применяется, например к крупному Retail-у или производству на 
> заводе. У заводов и ритейлов нет консьюмерского рынка по продаж ИТ-услуг, 
> у них другой бизнес. ПО в таком бизнесе преимущественно разрабатывается для 
> задач MDM, то есть это SAP, 1C, AXAPTA и прочие. Тёплое 
> с мягким не сравниваем. То что гуглу не нужно AD это 
> вообще ничего не значит.

>> Kerberos в бэкенде тоже LDAP использует, а не из астрала берет данные...

> Я уже писал выше, что это совсем не та проблема о которой 
> стоит заботиться. В каталогах которых много разных приложений и когда производительность 
> самого каталога имеет высокое значение и так много всего "замедляющего" в 
> схеме. Поддержка просовывания атрибутов прямо внутрь билетов Kerberos (это функционал 
> 5-й версии протокола) приводят чуть ли не к удваиванию требуемы ресурсов, 
> чтобы сохранить производительность, а некоторым и это нужно.

> Скорость АУТЕНТИФИКАЦИИ (хватит уже путать её с авторизацией) пользователя по Kerberos 
> - это не повод выковыривать из схемы OU. Кроме того она 
> не часто происходит, если у вас ОС поддерживает Kerberos. В Linux 
> безотносительно FreeIPA/AD вы не можете предъявить закешированный TGT для получения TGS, 
> поэтому если у вас много сервисов завязанных на Kerberos... Самый лучший 
> способ ускорить это всё избавиться от Linux как от ОС на 
> рабочих станциях. Это сократит вдвое количество запросов к KDC и прекратит 
> насилие над пользователем постоянными переспрашиваниями логинов и паролей по 10 раз 
> на дню. И никакая FreeIPA не решит эту проблему, потому что 
> она не там. Чтобы решить это в Linux нужно выкинуть PAM, 
> потому что эта подсистема не способна by-design понять некоторые вещи.

>> Что мешает к Configuration привязывать группы?

> В основном имеющаяся схема и здравый смысл.
>> Синхронизация групп даже здесь будет проходить быстрее.

> Да всем начхать на эту скорость, если функционал не подходит. Синхронизация AD 
> притянет не только пользователей но и чужие группы. Таков Exchange, он 
> использует и группы безопасности и группы рассылки для работы с почтой 
> и куча других сущностей каталога, а не только пользователей. Синхронизация притянет 
> много всего и OU выступает в роли контейнера. А ты предлагаешь 
> пихать группы в группы, когда группы имеют одинаковые названия а потом 
> этой кашей рулить? Так никто не делает и не будет делать. 
> Вот за такой вот бред FreeIPA и всё её сообщество не 
> во что не ставят.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру