Vlákno názorů k článku Linux a Samba v roli primárního řadiče domény Active Directory od klokan - Je to možná hloupá otázka, ale jakou to...
-
BuldrZlatý podporovatelA jak přesně chcete nahradit ADDS? Umí to například zálohovat a aktualizovat klíče v TPM? Co třeba DLP správa?
Zatím to nevypadá.
-
Alebo na SyncThingu založený SysvolSync: https://samba.tranquil.it/doc/en/samba_advanced_methods/samba_tis_sysvolsync.html
Ono v princípe nie je problém synchronizovať SYSVOL, pokiaľ máte iba Sambu. Problém by bol synchronizácia medzi Windows a Sambou.
-
Výhodu to má asi jedinou: je to nenáročné na zdroje a s tímhle postupem si snadno vytvoříte doménu na doma i na raspberry (pokud seženete) nebo třeba v LXC kontejneru na routeru s OpenWRT (pokud to utáhne) či na NASu (pokud máte - a nemá vlastní řešení)..
Doména dost usnadní správu těch pár uživatelů na několika domácích strojích - synchronizace hesel, správa profilů, nastavení oprávnění.,,
Na provoz ve firmě (byť malé) bych to asivelmi nedoporučil
. -
No, pokud jsi tak zarytý antimicrosoft, pak ano. Ale většina ostatních chápe, že prostě Windows server je někde úplně jinde.
Komu vadí prostředky, proč nenainstalovat verzi Core (bez GUI) a ovládat vzdáleně?
Licence? Malá firma určitě má nějakých 20000 na nový server a součástí pak může být Windows server Essential, kde není nutné platit CAL. A pokud firma nemá, pak nepotřeuje určitě doménu, ale stačí jí NASka.
A velká firma určitě má i na ty CALy, to je sice nákladově vyšší částka (jednorázově), ale jednou za cca 6-8 let (vždy ob jednu verzi WIndows srv stačí).
Ne, Samba skutečně není vhodná pro větší firmu jako PDC.
BTW: Linux jako člen AD a následně sdílení složek, to je jiná. Dokonce to lze ovládat konzolou Windows serveru. Jen to občas dělá "něco divného" a hledání je celkem peklo. Třeba, najednou špatně čte skupiny Windows ...
Resumé. Samba jako AD ve firmě za mě rozhodně ne. -
Ehm... Nechci debatovat o smyslu volby mezi MS řešením a Sambou, ale vaše jistota, že velká "firma" má na CALy mě nutí zmínit, že třeba na naší škole s 80 kantory (nepočítaje v to administrativní pracovníky) a cca 850 žáky je cena za CALy dlouhodobý problém, který se lepí v každém projektu, kde na to vyzbyde nějaká použitelná částka. A těch cca 1000 uživatelů už imho není málo.
Jinak řečeno cena licencí může být velmi dobrou motivací a pokud se k tomu přidá HW náročnost a postupné vyhnívání instalace (zřetelné zpomalování výkonu) samotných Windows oproti výkonnostně stabilnímu Linuxu, myslím, že za odladěné a odzkoušené out-of-box řešení pro školy by celá řada škol byla vděčná. Byť to naráží na značnou nepružnost velké části pedagogů - např. minulý týden si kolega stěžoval, že ty "nové" Office 2013 nechce, že mu to špatně otevírá jeho připravené písemky do matematiky a že chce pátky Office 2003, kde mu ten 20 let starý editor rovnic fungoval...
-
BobTheBuilderStříbrný podporovatelPromiňte, ale školy můžou mít servery z programu Select, kde se žádné CALy neplatí. Jsou dnes dražší, licence bývala za ~5 tisíc, dnes asi za ~10, ale pořád, žádné CALy.
Pro výuku pak můžete mít Azure Dev (dříve MSDN Academic Alliance), bývalo to za ~700€, ak za $500 a teď už asi druhý rok je to zdarma. Tyto licence ale nelze použít pro infrastrukturu školy.4. 4. 2022, 07:59 editováno autorem komentáře
-
No neznám detaily volby toho, proč nejsme v Select, ale každopádně "Tyto licence ale nelze použít pro infrastrukturu školy." asi vysvětluje, že taková licence ja prakticky nepoužitelná...
Jinak řečeno trvá můj argument, že třeba pro školství by alternativa domény přes Sambu mohla být zajímavá, pokud by existovalo odzkoušené a snadno nasaditelné řešení (což momentálně neexistuje).
-
BobTheBuilderStříbrný podporovatel
Licence Azure Dev Tools for Teaching nelze použít pro infrastrukturu školy. Ty jsou pro výuku a nyní asi druhý rok už zcela zdarma.
Program MS Select je pro školy, státní správu a zdravotnictví (ceny se liší podle typu organizace) a ty licence samozřejmě pro infrastrukturu použitelné jsou.
Pro jistotu ještě jednou: Azure Dev Tools for Teaching (dříve MSDN Academic Alliance) je něco jiného, než MS Select.
Pro školu ale může mít význam obojí: to první pro výuku (systémy, servery, vývojové prostředí), to druhé pro infrastrukturu. To první zdarma, to druhé za peníze, ale dost nízké. -
V tom případě nerozumím tomu, proč kupujete User CAL místo Device CAL...
Nebo snad máte víc zařízení, než uživatelů? Zrovna ve škole bych se tomu docela divil.
Zatím ve všech školách, kde jsem s tím licenčním humusem přišel do styku měli koupené Device CALy - naposledy škola 450 žáků, 30 učitelů a vše je pokryté 107 Device CALy, jeden tuším v SELECTu za 265 Kč -
V praxi se obvykle neřeší otázka, jestli použít Windows nebo Linux server pro Active Directory. Řekl bych, že naprostá většina "větších" instalací používá Windows. Otázkou spíš bývá, zda v menších firmách pro tyto účely použít NAS. Tam tyto služby bývají integrovány do snadno použitelného balíku. Já mám zkušenosti se Synology NAS, ale jiní výrobci k tomu asi přistupují podobně. Základní idea je, že si koupíte NAS, zadáte tam pár základních údajů a máte plnohodnotnou podnikovou síť včetně cloudových řešení. V praxi to tak jednoduché není, ale vývoj tím směrem jde.
Abych nemátl čtenáře: Pokud máte zkušenosti s administrováním linuxových systémů jako root, pak použití NAS není tak přímočaré, jak by se mohlo zdát. Sice tam běží Linux, Samba, ... ale od administrátora se neočekává použití konta root. Je třeba se seznámit s všelijakými omezeními, jejichž smyslem je učinit ten systém alespoň částečně blbovzdorný.
-
Souhlasím, že pro nasazení v roli "vše v jednom" je NAS zavádějící název. Důležité vlastnosti pro nasazení v menších firmách ale byly implementovány před pár lety, tohle není záležitost dvaceti let. Mám na mysli zejména snapshoty v btrfs. Ve firmách a v domácnostech určitě stále převažuje nasazení v roli network attached storage.
Bezpečnostní expert nejsem. Můj laický názor dlouholetého administrátora unixových systémů je, že když se uživatel bude držet několika málo postupů doporučovaných Synology, tak ten systém poměrně bezpečný je. Pokud ale uživatel začne experimentovat se spouštění všelijakých služeb aniž by věděl, co vlastně dělají, a začne nastavovat oprávnění, aniž by měl přehled o celém bezpečnostním modelu, tak to skončí děravým systémem.
Synology má placený Security Bug Bounty Program. Ten se ale nevztahuje na chybná nastavení uživatelem.
-
A to je právě ten problém, sám řikáš, že se bezpečností nezabýváš a zároveň tvrdíš, že to je bezpečné. Není. Pár týdnů starý problém Synology, plně aktualizovaný bez doplňků a ve výchozím nastavení, CVE-2021-44142, stačí připojený disk přes Sambu a klient je schopný na tom získat roota, tj. stačí napadený jeden z počítačů v sítí, který má právo na zápis do NAS a útočník má plnou kontrolu nad NASem. Zachyceno v terénu, tj. už se to používalo a šířilo. Teď si představ, že takovýhle problémy mají několikrát do roka (2021 - CVE-2021-29089, 2020 - CVE-2020-1472).
Když už krabičku, tak třeba QNAP, který umí přistupovat k problémům odpovědně, ale zase tam nemá ty fancy nástroje.
-
Nepsal jsem, že je to bezpečné. Psal jsem, že je to poměrně bezpečné. Z pohledu administrátora se to chová, jak se to chovat má: updaty jsou Synology vydávány a uživatel od NASu dostává e-mail s upozorněním, že update je k dispozici a je třeba ho nainstalovat.
Pokud se vaše výtka týká toho, že mezi zveřejněním opravy a vydáním updatu proběhne delší doba než u jiných výrobců, tak to je možné, tohle nesleduji. Pokud takové přehledy máte, tak se s nimi podělte.
Já jsem našel srovnání mezi výrobci zde: https://nascompares.com/security-advisories/ . Tam se ale jen odkazují na https://www.synology.com/en-global/security/advisory a https://www.qnap.com/en-uk/security-advisories . Doba trvání opravy tam není.
Nemám důvod NAS od Synology nijak přikrášlovat. Nejsem jejich prodejcem. Píšu o tom NASu, protože ho mám doma několik let. Kdybych měl NAS od QNAPu, tak bych psal o něm.
