» »

Francozi in Švedi s prehodom na odprto kodo nižajo IT stroške

1 2 3
4
5

poweroff ::

Ja, to si rekel, 5 postov nad tem.

Ne, jaz sem rekel, da obstajajo podjetni posamezniki, ki bi bili pripravljeni nuditi podporo.

Zakaj pa ne ustanoviš potem sam take firme?

Zakaj bi jo moral jaz ustanoviti?

Glede antivirusa pa mislim, da je tudi jasno. Linux ga ne potrebuje.
A res ?
(pa pazi na konkretno postavljeno vprašanje "V čem je linux boljši od drugih glede te teme?" in še bolj na odsotnost odgovora)

S takim pristopom in takimi argumenti lahko dvorni informatik prepriča nesposobnega uradnika v državni upravi, koga drugega pa ne. Opisani problem je preprosto rešljiv - uporabniki nimajo administrativnih privilegijev in ne morejo nameščati neumne programske kode ter dodajati repozitorijev.

Sramota, da tega ne veš.
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

MrStein ::

To lahko tudi na Windows narediš.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

nekikr ::

Matthai: zaradi mene so lahko mali zeleni, podjetni, ekološko osveščeni in še kaj, še vedno so posamezniki in preden se posamezniki organizirajo v tako kompleksno družbo kot bi jo tak sistem potreboval bi preteklo preveč vode.

Zakaj ti? Zakaj pa ne? Saj si pravi mali samooklicani ekspert odprte kode in nje rešitev. In vse ti je tako jasno in enostavno. Meni se zdiš perfekten kandidat.

McMallar ::

Vidim, da nikoli nisi delal v kakšni firmi. Moji uporabniki nikoli niso imeli admin privilegijev. To je praktično samomor. Kje pa si ti še videl, da lahko uporabniki sami nameščajo aplikacije? Mogoče pri vas?
Poleg vzdrževanja sistema moraš nuditi tudi osnovno pomoč. Vseeno rabiš kar nekaj ljudi, da uporabnikom razlaga, kako se naredi bold nekega teksta. In ne, to se ne izmišljujem, takšno je dejansko stanje. In ker govorimo o javni upravi, teh ljudi zaradi tega ne moreš ne prerazporediti ne odpustiti.

Kar se univerze tiče, sem ti že povedal: Projekt je bil pripravljen in se je začel, potem pa je bil bojkotiran zaradi nekaterih notranjih interesov. Kaj več o tem nebi.

Nekkir: +1
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

poweroff ::

Matthai: zaradi mene so lahko mali zeleni, podjetni, ekološko osveščeni in še kaj, še vedno so posamezniki in preden se posamezniki organizirajo v tako kompleksno družbo kot bi jo tak sistem potreboval bi preteklo preveč vode.

Bullshit. Konzorcij je bil že narejen. Ne en - dva. Notri so bila tudi podjetja, ki imajo izkušnje z nudenjem komercialnega Linux supporta. Ampak pustimo podrobnosti.

Vidim, da nikoli nisi delal v kakšni firmi. Moji uporabniki nikoli niso imeli admin privilegijev. To je praktično samomor. Kje pa si ti še videl, da lahko uporabniki sami nameščajo aplikacije? Mogoče pri vas?

Ne, očitno je tako v državni upravi, ko mi pa strokovnjaki venomer poudarjate, da Linux nujno rabi antivirus zgolj zato, ker uporabnik z admin privilegiji na Gnome-look lahko sname in namesti zlobno skripto.

Kar se univerze tiče, sem ti že povedal: Projekt je bil pripravljen in se je začel, potem pa je bil bojkotiran zaradi nekaterih notranjih interesov. Kaj več o tem nebi.

V bistvu je bilo ravno obratno - začel se je zaradi nekih notranjih interesov. Namreč pred uvedbo AD je že obstajal LDAP in se je že uporabljal na nekaterih fakultetah. Kljub temu se je nekdo odločil za vzpostavitev dragega vzporednega sistema, čeprav je prvi sistem povsem zadoščal. Več o tem pa tudi jaz ne bom povedal.
sudo poweroff

McMallar ::

Ne, očitno je tako v državni upravi, ko mi pa strokovnjaki venomer poudarjate, da Linux nujno rabi antivirus zgolj zato, ker uporabnik z admin privilegiji na Gnome-look lahko sname in namesti zlobno skripto.

Kje je kdo v tej temi rekel kaj o tem?

Namreč pred uvedbo AD je že obstajal LDAP in se je že uporabljal na nekaterih fakultetah.

Hoteli so povezati vse skupaj, potem so pa ugotovili, kaj to pomeni za nekatere posameznike. Ampak pustiva to.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

poweroff ::

Saj z LDAPom je ŽE povezano.
sudo poweroff

McMallar ::

Hoteli so narediti enoten AD forest z več domenami, med katerimi bi bil urejen trust relationship, pravice,... Skratka poenotiti infrastrukturo.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

poweroff ::

Ja, lotili so se pa tega kot največji kekci. Še ene uboge varnostne politike niso znali pripraviti, kaj šele resnega načrta omrežja. Sicer pa sem pred kratkim naredil par analiz omrežja in rezultati kažejo, da nekateri na Univerzi resno nimajo pojma o networkingu.

Pa to ni stvar debate.
sudo poweroff

McMallar ::

Ja. Ampak to je človeški faktor in ne tehnološki. O tem govorim že ves čas. Če so admini/arhitekti nesposobni to ni težava tehnologije. Zato me tako zelo moti, da enačiš MS sistemca z tepcem in Linux admina s profesionalcem. Poznam precej ljudi in vem, da so nesposobneži na obeh straneh.

Še vedno pa nisi odgovoril, kje je v tej temi kdo trdil sledeče:
Ne, očitno je tako v državni upravi, ko mi pa strokovnjaki venomer poudarjate, da Linux nujno rabi antivirus zgolj zato, ker uporabnik z admin privilegiji na Gnome-look lahko sname in namesti zlobno skripto.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

McMallar ::

Še eno stvar bi rad izpostavil: varnost sistema.
Če jaz, ki ne obvladam Linuxa postavim en sistem, je varen out of the box? Ali moram prilagoditi 10 conf skript v custom nastavitve, da mi deluje tako kot je treba. Verjetno obstajajo nekakšna priporočila, kako stvar pravilno in najbolj varno postaviti.

Veliko ljudi tudi misli, da Win mašino samo enostavno poinštaliraš. Tudi Win strežnik je potrebno konfigurirati in varnostno prilagoditi. Zato tudi obstajajo t.i. "Hardening" priporočila za produkte (kateri servisi so potrebni, katere vloge,...). Ampak kdo se teh priporočil drži, je pa spet drugo vprašanje. In spet smo tu pri človeškem faktorju in ne sistemu.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Daedalus ::

Poznam precej ljudi in vem, da so nesposobneži na obeh straneh.


Tell me about it. Moja služba je trenutno fixanje gluposti, ki so jih trije uber linux admini pustili za sabo.

Če jaz, ki ne obvladam Linuxa postavim en sistem, je varen out of the box? Ali moram prilagoditi 10 conf skript v custom nastavitve, da mi deluje tako kot je treba. Verjetno obstajajo nekakšna priporočila, kako stvar pravilno in najbolj varno postaviti.


Ne, sem vidal že precej dokazov za to. Je pa verjetno varnejši (vzemimo za primer standarni debian net install, al pa Ubuntu desktop install) od windows boxa, če oba neposredno priklopiš na internet. Lahko probamo ob priliki.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

poweroff ::

Še vedno pa nisi odgovoril, kje je v tej temi kdo trdil sledeče:

Ne, očitno je tako v državni upravi, ko mi pa strokovnjaki venomer poudarjate, da Linux nujno rabi antivirus zgolj zato, ker uporabnik z admin privilegiji na Gnome-look lahko sname in namesti zlobno skripto.

MrStein je podtikal v tej smeri. Namreč, jaz sem izjavil, da Linux antivirusa ne potrebuje on pa je odvrnil, da to ni res in polinkal na novico o tisti zlobni skripti, ki so jo uporabniki sami naložili.

Človek pač nima pojma o čem govorimo, kaj naj rečem drugega.

Še eno stvar bi rad izpostavil: varnost sistema.
Če jaz, ki ne obvladam Linuxa postavim en sistem, je varen out of the box? Ali moram prilagoditi 10 conf skript v custom nastavitve, da mi deluje tako kot je treba. Verjetno obstajajo nekakšna priporočila, kako stvar pravilno in najbolj varno postaviti.

Načeloma da. Res je pa, da po defaultu v Linux sistemu teče minimalno servisov. Obstajajo resne ocene, da se je varnost Windows sistemov zelo povečala, ko so začeli ugašati po defaultu prižgane in nepotrebne servise. Poleg tega imaš precej mehanizmov, ki že v štartu omogočajo visoko varnost.

Lahko probamo ob priliki.

Smo že. Sicer pred leti. Wintendo 2000 je padel v par urah.
sudo poweroff

Daedalus ::

Ma to vem. V času Blasterja je WinXP sistem šal v 10 min. Mene zanima 7-ka, Vista pa kak server vs Ubuntu desktop/server.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

CoolBits ::

Oba sistema imajo svoje prednosti in slabosti.
Ampak država bi morala it po cenejši poti, ker nima svojega denarja ampak zapravlja našega.
V vsakem pogledu so cenejše in bolj prilagodljive odprtokodne rešitve.
Cena je pri odprti kodi nižja najmanj za vsoto licenc, ostali stroški so podobni...

Ko bo povpraševaje bo tudi ponudba (podjetja)odprtokodnih rešitev prava!
Dokler pa se grejo MS politiko pa je kot je.
Sej se lepo vidi kako je v tujini iz novice.

darkolord ::

Mene zanima 7-ka, Vista pa kak server vs Ubuntu desktop/server.
Zdaj bi moral preceej dolgo čakat za kaj podobnega...

poweroff ::

Do prvega RPC requesta? :D
sudo poweroff

sese12 ::

Saj smo že videli preračunavanja cen prehoda na odprto kodo. v nekaj 10 letih se komaj pozna prehod pa še to zelo minimalen.


Pri nas v SLo smo očitni bolj pametni in znamo bolše preračunati kot recimo Francozi in Švedi, koliko bo stal tak prehod !

Mavrik ::

Seveda. Slovenija ni Francija ali Švedska. Pa kaj ti da misliti da so njihovi izračuni sploh pravilni?
The truth is rarely pure and never simple.

Gandalfar ::

@Matthai: do prvega SSH requesta ali drugega remote exploita v vsakem lunixu vsaj enkrat na leto?

CoolBits ::

Tukaj je zanimivo to, da se za popravek od MS lahko čaka malo ali pa tudi par let.
Za linux pa kak majster naredi popravek in bi se ga lahko vključilo že isti dan v državni repozitorij...

Gandalfar ::

a kar tako, brez resnega vendor testinga bos ti deployal en popravek na 50k mašin?

poweroff ::

@Matthai: do prvega SSH requesta ali drugega remote exploita v vsakem lunixu vsaj enkrat na leto?

Kako le, če na mašini ne teče SSH, ali pa če je zafirewallan?

Za linux pa kak majster naredi popravek in bi se ga lahko vključilo že isti dan v državni repozitorij...

Žal to ni argument, ker ljudi, ki so to sposobni je premalo.

Seveda. Slovenija ni Francija ali Švedska. Pa kaj ti da misliti da so njihovi izračuni sploh pravilni?

Večja odgovornost vlade, višji standardi nadzora proračunske porabe, itd. Če v Franciji en uradnik reče, da so prihranili 70% pa se potem izkaže, da tega ne more dokazat ali da se je celo lagal, leti iz službe. Direkt.
sudo poweroff

CoolBits ::


Za linux pa kak majster naredi popravek in bi se ga lahko vključilo že isti dan v državni repozitorij...


Žal to ni argument, ker ljudi, ki so to sposobni je premalo.


Seveda, ker je premalo povpraševanja pri nas... in posledično ni ponudbe.

a kar tako, brez resnega vendor testinga bos ti deployal en popravek na 50k mašin?

Kar tako seveda ne, stestirat je treba... ampak vseeno bolje kot čakat na usmiljenje iz MS, če pride sploh in za katerega pol računajo 1.255.000€ (iz glave) :D

Zgodovina sprememb…

  • spremenil: CoolBits ()

hruske ::

Ne, pri varnosti je treba graditi na preventivi in ne kurativi:

- hitra zaznava vdora,
- storitve naj imajo minimalne pravice da ob vdoru ne bo večje škode kot je potrebna,
- backupi,
- auditi.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

darkolord ::

Kako le, če na mašini ne teče SSH, ali pa če je zafirewallan?
Ja pol je pa tut RPC zafirewallan, ane

McMallar ::

Tukaj je zanimivo to, da se za popravek od MS lahko čaka malo ali pa tudi par let.
Za linux pa kak majster naredi popravek in bi se ga lahko vključilo že isti dan v državni repozitorij...


Sem že napisal tu. Delali smo na projektu, kjer je bil bug v enem izmed MS servisov. Po prijavi je bil popravek nared v cca. 10 dneh. Je pa res, da je imela stranka EA in PJS pogodbo.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

poweroff ::

Ja pol je pa tut RPC zafirewallan, ane

Teče pa že po defaultu. SSH ne. Pa saj to si vedel, kajne?
sudo poweroff

MrStein ::

Matthai:

MrStein je podtikal v tej smeri. Namreč, jaz sem izjavil, da Linux antivirusa ne potrebuje on pa je odvrnil, da to ni res in polinkal na novico o tisti zlobni skripti, ki so jo uporabniki sami naložili.

Eh, a email viruse na Windows ne naložijo uporabniki sami? Kaj pa trojance? Kreke?

Pol si ti omenil ne-root okolje, nakar sem namignil na ekvivalentno ne-admin okolje na Windows.

In tretjič ponavljam: Kje se vidi razlika v dizajnu sistema glede varnosti?

Odgovora pa kar ni in ni.


Človek pač nima pojma o čem govorimo, kaj naj rečem drugega.

Ne reči nič?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

šernk ::

In tretjič ponavljam: Kje se vidi razlika v dizajnu sistema glede varnosti?


če razlike ti v varnosti ne vidiš potem je odločitev kaj je boljše logična...tisto kar je cenejše
In general, high velocity doesn't produce harmful injuries.
But what is dangerous is the high acceleration
or deceleration given at a certain time interval.

darkolord ::

Torej varnost in cena sta edina atributa?

denial ::

Delali smo na projektu, kjer je bil bug v enem izmed MS servisov.

Lahko prosim podaš kaj več informacij. Mogoče kakšen link do SA/SB ali je vseskupaj pod NDA.
SELECT finger FROM hand WHERE id=3;

šernk ::

Torej varnost in cena sta edina atributa?


hja...razen cene smo prišli očitno do ugotovitve, da je vse drugo isto. aja ne..pri enem iz supporta vleče denar en kup lenob, ki niso pripravljeni se novih stvari učit.
In general, high velocity doesn't produce harmful injuries.
But what is dangerous is the high acceleration
or deceleration given at a certain time interval.

Gandalfar ::

Ja pol je pa tut RPC zafirewallan, ane

Teče pa že po defaultu. SSH ne. Pa saj to si vedel, kajne?


Torej zdaj smo ugotovili, da so OpenBSD-jevci vsaj taki šalabajezrjevci kot Microsoft - Only two remote holes in the default install, in a heck of a long time!

poweroff ::

No, se pravi smo našli rešitev, ki bo zadovoljila tudi dvorne informatike - vsi na FreeBSD, je najbolj varen. :D
sudo poweroff

McMallar ::

@denial
Delali smo večji projekt v enem večjih slovenskih omrežij. V AD forestu smo implementirali izolacijo domen s pomočjo IPsec. Ker v tako kompleksnem omrežju moraš upoštevati precej faktorjev smo prišli do situacije, kjer se sistem ni obnašal tako, kot bi se moral. Preko MS Slovenija smo prišli v stik direktno s človekom, ki implementira IPsec v OS. Po krajši izmenjavi logov in opazk smo prišli do rešitve. Kaj več pa ne morem povedati.

Drugi primer je kolega, ki postavlja Exchange rešitve. Pri eni od prvih postavitev Exchange 2007 je bila potrebna migracija uporabnikov z Lotus Domino sistema. MS je imel za to pripravljen brezplačen migrator, ki pa ni deloval najbolje. No kolega se je povezal z razvijalcem, ki je buge odpravljal skoraj instantno. Po prijavi je bila nova verzija na voljo v dnevu ali dveh.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

poweroff ::

Lepo je to slišat. No, saj tega jaz ne zanikam, da Microsoft za velike uporabnike nima profesionalnega supporta. V Sloveniji odprtokodna skupnost česa takega pač ni sposobna, to je dejstvo.

Lahko pa jaz povem kakšno svojo izkušnjo, kako je res enostavno priti do kakšnega Linux developerja pri Canonicalu. In to celo če ne plačaš supporta.
sudo poweroff

BigWhale ::

Lepo je to slišat. No, saj tega jaz ne zanikam, da Microsoft za velike uporabnike nima profesionalnega supporta. V Sloveniji odprtokodna skupnost česa takega pač ni sposobna, to je dejstvo.


Zakaj bi pa to resevala odprtokodna skupnost? Take stvari resujejo podjetja. Za primerno placilo (recimo podpisan EA) ti bo vsako podjetje vecino stvari popravilo in bos takoj prisel do razvijalca oziroma do tistega, ki bo stvar znal popraviti.

Nekega tehtnega argumenta zakaj bi bil AD boljsi od OpenLDAP pa v bistvu ni. Narobe postavljen in skonfiguriran AD bo ravno tako zanic delal kot narobe postavljen OpenLDAP. Pa tudi pravilnko skonfiguriran LDAP bo sluzil isti funkciji kot AD.

Vsekakor je vse skupaj stvar (predvsem) osebnih preferenc in tega s cim si vajen delati. Full time Windows administrator se bo lovil in klel Linux resitve, velja pa tudi obratno. Meni je recimo AD nightmare, openLdap pa mal manjsi nightmare. :) V AD je lazje dodati uporabnika in nastaviti vse skupaj, mi je pa veliko vecji pain in the ass en problem diagnosticirat in locirat. Takrat, ko crkne, stvar res crkne. "Ej, AD neki ne dela, v Zagrebu se ne morejo logirat." V logih pa nikjer nic. Ali pa: "Tale user ne more obstojecih fajlov odpirat na desktopu, vceraj jih je se lahko."

MrStein ::

Matthai:

Lahko pa jaz povem kakšno svojo izkušnjo, kako je res enostavno priti do kakšnega Linux developerja pri Canonicalu. In to celo če ne plačaš supporta.

No, pol pa povej. Ne se sramovat. ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

McMallar ::

OpenLDAP ne poznam. Vse kar vem o njemu sem prebral na Wikipediji.

Strinjam se s tabo, da je narobe postavljen AD prav lahko nočna mora. Kolikor sem videl pa OpenLDAP nima dodatnih stvari, ki jih AD ima. Popravi me, če se motim. AD ni samo LDAP ampak je precej več:
- pozna Foreste, Domene, Site-e
- Group Policy, ki ti omogoča nastavljanje večine stvari na delovnih postajah
- Namestitev SW
- ...

Bolj sem ciljal na to, da ima AD širši nabor funkcionalnosti kot OpenLDAP. Vem, da v Linuxu obstajajo aplikacije, ki izven OpenLDAP urejajo nekatere izmed zgornjih stvari. Tako tudi v MS okolju obstajajo aplikacije, ki nekatere izmed funkcionalnosti AD dvignejo še na višji nivo (tako s funkcionalnega kot upravljalskega vidika).

Troubleshooting je pa zgodba zase. Iz stavka:"Ej, AD neki ne dela, v Zagrebu se ne morejo logirat." dobim kar nekaj asociacij, kaj bi lahko šlo narobe in kako bi se lotil diagnostike.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Daedalus ::

LDAP je "zgolj" direktorij, se pravi zadeva (baza), kamor tlačiš podatke. No ja, še to v bistvu ni, je protokol. Sam po sebi ne zna dosti več od tega, da hrani neke podatke (recimo o userjih) in da odgovarja na poizvedbe. AD je implementacija LDAP protokola skupaj z orodji za upravljanje. Na Linuxu recimo ne obstaja paket (vsaj vem ne za njega) , ki bi se obnašal kot AD "iz škatle," se pa da podobno funkcionalnost dosečti s priklapljanjem raznih aplikacij na OpenLDAP. Recimo, dodaš userja, ki se lahko prijavi na delovno postajo, obenem dobi še mailbox, lahko dela z neko intranet aplikacijo... al pa dobi samo mailbox, ne pa logina in dostopa do intraneta, ipd. Ni pa (vsaj kolker mi je znano) neke alternative group policy v Windows AD. Kar je v bistvu kr škoda, group policy je hudo uporabna reč. Se da marsikaj narest v linuxu... sam več dela in truda zahteva.

- pozna Foreste, Domene, Site-e


To so verjetno zgolj malo drugačna poimenovanja določenih delov drevesne strukture. Ugibam, ker nisem posebej domač s strukturo AD...
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Zgodovina sprememb…

  • spremenilo: Daedalus ()

McMallar ::

Več o Forestih, domenah,... dobiš na wiki
oz. InformIT
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Daedalus ::

Sem preletel in ne zgleda čisto nič takega, kar ne bi mogel stlačit v OpenLDAP. Sej oboje uporablja (nekoliko različno) implementacijo istega protokola. V katerem so podatki v drevesni strukturi in jih organiziraš glede na lastne potrebe. Če gre za oddelke, hčerinske firme, replikacijo dela strukture na drug konec sveta... je pa zgolj vprašanje potreb. S tem da tu dobiš nekatere stvari pač predpripravljene, kak OpenLDAP pa ti pušča proste roke pri "oblikovanju" strukture. Ista reč, druga terminologija.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

BigWhale ::

Bolj sem ciljal na to, da ima AD širši nabor funkcionalnosti kot OpenLDAP. Vem, da v Linuxu obstajajo aplikacije, ki izven OpenLDAP urejajo nekatere izmed zgornjih stvari. Tako tudi v MS okolju obstajajo aplikacije, ki nekatere izmed funkcionalnosti AD dvignejo še na višji nivo (tako s funkcionalnega kot upravljalskega vidika).


To vsekakor, tako kot je ze Dedal pred mano povedal, AD je en kup orodij, ki je v bistvu zbran nad Kerberosom, LDAPom in DNSom.

Precej tega se da doseci z odprtimi orodji v Linuxu. Vsega, ne.

Meni se predvsem poraja vprasanje o smiselnosti postavljanja tako kompleksnega ADja (ali cesarkoli drugega) za tako mnozico (vec dest tisoc) racunalnikov in se vec uporabnikov. Vcasih je lazje upravljati vec manjsih omrezij kot eno velikansko.

BlueRunner ::

Ena zadeva, ki jo pri OSS rešitvah pogrešam glede na AD, je dobra integracija DNS-ja z LDAP-om. Z BIND zaradi njegove arhitekture ni možno učinkovito implementirati dinamičnega domenskega sistema, PowerDNS bi morda deloval, vendar ne pozna niti RFC 1035 in RFC 2136, kaj šele TSIG za zaščito tovrstne rešitve. Pri velikih omrežjih je ta integracija še kako pomembna. Potem pa smo z OSS DNS rešitvami zaključili.

Ja, ja, ja... vsedi se in napiši. Seveda bi lahko napisal nek DNS strežnik, ki bi do neke mere verjetno celo deloval. Vendar pa izkušnje kažejo, da je hudičevo težko spisati varen, učinovit in pravilno delujoč DNS strežnik. PowerDNS kot edina realna alternativa BIND-u še nekako živi, vendar ni kompletna rešitev. Preostale kompletne rešitve pa so vse komercialni projekti.

McMallar ::

Meni se predvsem poraja vprasanje o smiselnosti postavljanja tako kompleksnega ADja (ali cesarkoli drugega) za tako mnozico (vec dest tisoc) racunalnikov in se vec uporabnikov. Vcasih je lazje upravljati vec manjsih omrezij kot eno velikansko.


Vse je odvisno od arhitekture in potreb.

Včasih imaš lahko en forest (ki je security boundary) in več domen in poddomen. Znotraj foresta imaš enoten kerberos, se pravi da ti avtentikacija in avtorizacija delujeta brez dodatnih nastavitev. Imaš Enterprise Admine, ki ti upravljajo celoten forest in imaš Domain admine, ki imajo pravice samo na svojih domenah. Tako imaš lahko učinkovito delegacijo. Lahko določaš nivoje zaupanja (trust relationship) med domenami. Ti so lahko polni, enosmerni, zunanji,...

Lahko imaš več forestov, kar je tudi smiselno v določenih situacijah. Po potrebi lahko vzpostavljaš truste tudi med foresti.

Marsikaj si lahko poenostaviš (lahko pa tudi zakompliciraš) s pravilno zasnovo okolja glede na potrebe.

Je pa res to, kar je BlueRunner napisal zgoraj. AD je obešen na DNS. Če DNS ne deluje, AD crkne. Simple as that. Ob postavitvi AD se v DNS vpiše precej SRV recordov, ki potem definirajo obnašanje.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

BlueRunner ::

Ne samo AD. Vsa administracija omrežij v splošnem je obešena na DNS. MS ali pa *IX ne igra veliko vloge. V IPv6 omrežjih pa še posebej.

Če DNS ne podpira dinamične registracije za delovne postaje, potem si v večjem omrežju bolj ali manj "hosed". BIND to sicer zna, ampak je po mojih osebnih izkušnjah preveč tog za tovrstno uporabo. Dobro orodje in referenčna implementacija, ampak nedorasel nekaterim potrebam omrežij v večjih podjetjih.

McMallar ::

V bistvu sem mislil bolj na to, da je AD odvisen od DNS vpisov. Z izbrisom nekaj SRV vpisov lahko AD onesposobiš.

Ima pa še dodatno zaščito. Lahko dovoliš samo Secure vpise v AD. DNS način spremeniš v AD Integrated. Tako ti DNS prestavi v Domain ali Forest particijo (DNS se ti potem replicira z AD po domeni ali forestu).
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

BlueRunner ::

Sem te razumel in se s teboj popolnoma strinjam. Sem pa želel poudariti, da je tudi delujoč splošen DNS sam po sebi, tudi brez AD-ja, za večja omrežja zelo pomemben, s prihodom IPv6 pa bo postal še bolj pomemben. Ravno tako pa se strinjam, da je AD tisti mehanizem, ki MS-jev DNS spremeni iz solidnega v ključno rešitev:
- multimaster AD replikacija poskrbi za sinhronizacijo podatkov
- več DC strežnikov poskrbi za HA AD-ja
- GSS-TSIG poskrbi za avtentikacijo delovnih postaj/uporabnikov pri komunikaciji (Kerberos V)
- Ker pa je vsak DNS zapis shranjen kot objekt v AD, pa AD s tem poskrbi tudi za avtorizacijo pri vpisovanju in/ali popravljanju zapisov

Pri OSS rešitvah danes nekaj koščkov še manjka, navečji kos in za marsikoga deal breaker pa je ravno DNS strežnik z novo arhitekturo.

denial ::

Francija se je za prehod na FOSS odločila šele po predhodni ilegalizaciji FD: KLIK. >:D
SELECT finger FROM hand WHERE id=3;
1 2 3
4
5


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kanarski otoki prestopili na Linux in prihranili (strani: 1 2 )

Oddelek: Novice / Ostale najave
6819323 (14290) MatejMatej
»

Francozi in Švedi s prehodom na odprto kodo nižajo IT stroške (strani: 1 2 3 4 5 )

Oddelek: Novice / Ostala programska oprema
20019255 (16149) hruske
»

Münchnski prehod na Linux se nadaljuje (strani: 1 2 3 4 5 )

Oddelek: Novice / Operacijski sistemi
20617453 (12826) poweroff
»

Britanska vlada podprla odprto kodo

Oddelek: Novice / Ostala programska oprema
174357 (3544) G-man

Več podobnih tem