[office-server] LDAP и все, что в него можно засунуть

Timur Batyrshin batyrshin на ieml.ru
Пн Июн 15 12:03:53 MSD 2009


On Mon, 15 Jun 2009 10:24:14 +0300
Dmitriy Kruglikov wrote:

> > Именно по этой причине альтератор трогать вообще не хочется =(
> Я уделил этому вопросу значительное время.
> Пытался написать вообще отдельную софтину ...
> Как по мне, если и не альтератор, то что-то подобное ...
> Ни GQ, ни PHPLDAPAdmin не дают желаемой простоты
> администрирования.
> Хочется получить внятную экранную форму, в которой нужно будет просто
> заполнить поля, имеющие вразумительнуе имена и снабженные
> комментариями. Среднестатистическому админу знать имена атрибутов,
> которые хранят эти значения - излишне...

Имена атрибутов, по-моему, можно спрятать, остальное все так.

> > Сейчас у меня в планах:
> > - допиливание своей софтины
> > (http://git.altlinux.org/people/erthad/packages/userblocker.git)
> > по вытаскиванию из LDAP информации по Squid ACLs с одновременной
> > проверкой израсходованного трафика по LightSquid, для последующего
> > подсовывания получившихся списков какому-нибудь url_rewrite-ру
> > (rejik)
> Так их же ж сперва туда засунуть нужно ...
> А потом уже вытаскивать ...

Ну да. Это думаю взять уже имеющуюся базу по сотрудникам (1С и т.п.) и
разом залить. Затем начинается работа по первоначальной выдаче паролей.
Ее, впрочем тоже можно довольно легко автоматизировать.

> Опять же, связку  Squid+rejik+LightSquid я пользовал ...
> Проблему "перекачки" она решает весьма посредственно ...
> Только реконфигурацией Squid, а это рвет сессии тем, кому не
> положено...

`service squid reload' сессии не рвет и не обрывает закачки.
Но последнее меня мало волнует, т.к. кому качать разрешено, у тех и
лимиты большие, а превышение лимита процентов на 10 -- роли большой не
играет.

> > А вот дальше остается либо пилить шаблоны PHPLDAPAdmin, которые
> > позволяеют сделать многое, но несколько не удобно, либо изобретать
> > персональный велосипед, либо с кем-то стыковаться.
> Все эти этапы мной пройдены... :)
> Мой выбор обоснован исследованиями в данной области...
> Кроме того, я ставлю перед собой задачу управления не каким-либо
> отдельным сервис[ом|ами], а _всей_ системой  в целом ...

Насчет DNS/DHCP -1, т.к. эти вещи надо автоматизировать на еще более
низком уровне -- с привязкой к портам коммутатора/их ARP-таблицам.
Ну и здесь задача стоит не столько выделить определенные адреса/имена
компьютерам, а знать, как в целом обстоят дела в сети и быть в
состоянии оперативно вмешиваться там, где это надо.
Но пока, к сожалению, не до этого.

Пару программ по этой теме, на которые я смотрю, можно найти здесь:
google://netdisco
google://netdot

> Даже не одним сервером, а группой серверов.
> Подразумеваю, что в некотором офисе имеется ALT Linux Office Server
> и группа технологических серверов, которые получают разнообразную
> информацию из центральной базы LDAP.

Я сейчас запускаю систему, где с LDAP стыкуются jabber, почта и прокси,
в более далеких планах файлсервера и Windows Logon, но это я детально
не обдумывал еще.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 197 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/office-server/attachments/20090615/e7dd1e77/attachment-0003.bin>


Подробная информация о списке рассылки office-server