Исходное сообщение
"Релиз LDAP-сервера ReOpenLDAP 1.2.0" Отправлено Lefsha, 14-Сен-22 15:26
>> Существуют группы aka Linux и существуют группы организованные другим образом. >> В итоге нет возможности совмещать пользователей по одним и тем же группам >> в рамках пользователей >> самой OS и сервисов предоставляемых в рамках условной сети. Т.е. то что >> более или менее работает >> в Windows совершенно не работает в Linux. Но это проблема устаревшей концепции >> Unix - я-мы-все. > Тут у вас что-то не так, либо я вас совсем не понял. Да, Вы меня не поняли. У меня претензии НЕ к LDAP. Он сам по себе тут не причем. > В LDAP, прежде всего, всегда есть иерархия, т.е. дерево вложенных OD. >  - Соответственно, появляется иерархия OD-групп, и эта иерархия сугубо топологическая/географическая. Я говорю о нескольких реализациях Групп И Пользователей с помощью LDAP: 1. posixGroup через cn and gidNumber    posixAccount через uidNumber etc Чтобы даже в сети иметь доступ до некого компа через общую систему имен необходимо иметь эти цифры. В Unix все права определаются через ID. Никаких имен там нет. 2. Чтобы использовать условно родные для LDAP группы и пользователей с возможностью использования всяких там плагинов типа memberof. Ну хорошо - overlays. Нужно иметь совершенно другую - параллельную иерархию групп и пользователей. Обе не имеют ничего общего друг с другом. Кое что об этом тут: https://stackoverflow.com/questions/15818382/what-type-of-gr... Соответственно, я могу предоставлять пользователям некие сервисы согласно одной конецепции, но не могу согласно другой. Доступ, даже удаленный к машине это тоже сервис. В итоге у меня сделано так, что все пользователи с точки зрения условного Nextcloud находятся в разных группах с разными полномочиями, но с точки зрения непосредственно Unix они ВСЕ находятся в одной posix группе. Т.е. я сделал merge 2х типов пользователей, что просто, но разумеется не могу сделать merge 2х типов групп. Это приводит например к тому, что средствами Nextcloud приходится создавать разграничения по полномочиям с помощью более расширенного механизма групп. А это по сути дупликация функций файловой системы! И она жрет ресурсы и не будет никогда работать так стабильно как если бы это была внутренняя функция файловой системы. Тот же Nextcloud вообще бы НЕ занимался функциями разграничения полномочий и по сути дублирования файловой системы! По этому я и говорю, что система - я-мы-они капитально устарела, но Unix и в часности Linux не хочет и не видит необходимости что-то менять. Просто потому, что там сидят программисты, которым проще в консоле... У которых элементарно не хватает мозгов понять требования сегодняшнего или точнее ВЧЕРАШНЕГО дня. И поэтому Windows шагает по планете. А Linux ничего не может предложить для бизнеса. Да даже просто любых организаций  где больше чем 2 человека. Т.е. он предлагает но тот же самый LDAP с которым САМ работать НЕ может. Очевидное и элементарное, где одна группа пользователей включена в другую группу - даже это отсутствует в Unix. До этой элементарной идей можно было догадаться еще 50 лет назад. И все потому что сидит такой Ваня и говорит - а мне в консоле проще. А мне - не надо. И по этому этот Ваня идет НА*ЕР. А приходит Microsoft и решает задачи бизнеса. > Это покрывает все сценария использования. > В винде (active directory) ровно тоже самое, ибо другие методы просто сложно > придумать. Да. Точно так. Я совершенно НЕ спорю. Вот только Linux об этом совершенно НЕ знает. Что именно мешает раз и навсегда создать полную иерархию пользователей и групп? Одно решение, которое покрывает автоматом ВСЕ варианты? Где и пользователь и группа отличаются только атрибутом. Где каждый представляется с помощью UID. Где любая группа может входить в другие любые группы как и обычный пользователь. Пользователь с ID=5 это какой-то страшный пережиток прошлого. Я молчу про ID=0. Сам факт получения ID=0 делает вас Богом в системе... Не какие-то там права, вхождения в какие-то там группы или полномочия... А просто получи 0 и радуйся. И вдруг ВСЕ права перестают действовать. Это кто такое писал??? Нет. Я не спорю в 1970 году это было даже круто. Компьютер был только у меня и Майкла Джексона... Но тут приходит в дискуссию "Ваня_83" и предлагает убрать LDAP, потому что он устарел.... А мы даже не доросли чтобы использовать возможности LDAP на 5%... Windows дорос, а Linux - нет. Но мозгов то у Вани_83 нет. Но зато это такие Вани коммитят куда-то свой код... P.S. А сейчас MS семимильными шагами идет и на территорию Linux... И не дай бог они создадут для Linux то, о чем я написал выше... Пользователей обычного Linux вообще не останется. Деградирует в НОЛЬ. Опыт с Systemd удался на славу. Теперь полная интеграция LDAP в Linux от Microsoft и все привет семье. С точки зрения стратегии это очевидный шаг.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>> Существуют группы aka Linux и существуют группы организованные другим образом. >>> В итоге нет возможности совмещать пользователей по одним и тем же группам >>> в рамках пользователей >>> самой OS и сервисов предоставляемых в рамках условной сети. Т.е. то что >>> более или менее работает >>> в Windows совершенно не работает в Linux. Но это проблема устаревшей концепции >>> Unix - я-мы-все. >> Тут у вас что-то не так, либо я вас совсем не понял. > Да, Вы меня не поняли. У меня претензии НЕ к LDAP. Он > сам по себе тут не причем. >> В LDAP, прежде всего, всегда есть иерархия, т.е. дерево вложенных OD. >> - Соответственно, появляется иерархия OD-групп, и эта иерархия сугубо топологическая/географическая. > Я говорю о нескольких реализациях Групп И Пользователей с помощью LDAP: > 1. posixGroup через cn and gidNumber > posixAccount через uidNumber etc > Чтобы даже в сети иметь доступ до некого компа через общую систему > имен > необходимо иметь эти цифры. В Unix все права определаются через ID. Никаких > имен там нет. > 2. Чтобы использовать условно родные для LDAP группы и пользователей с возможностью > использования всяких там плагинов типа memberof. Ну хорошо - overlays. > Нужно иметь совершенно другую - параллельную иерархию групп и пользователей. > Обе не имеют ничего общего друг с другом. > Кое что об этом тут: > https://stackoverflow.com/questions/15818382/what-type-of-group-to-choose-in-openldap-for-grouping-users > Соответственно, я могу предоставлять пользователям некие сервисы согласно одной конецепции, > но не могу согласно другой. Доступ, даже удаленный к машине это тоже > сервис. > В итоге у меня сделано так, что все пользователи с точки зрения > условного Nextcloud > находятся в разных группах с разными полномочиями, но с точки зрения непосредственно > Unix > они ВСЕ находятся в одной posix группе. Т.е. я сделал merge 2х > типов пользователей, > что просто, но разумеется не могу сделать merge 2х типов групп. > Это приводит например к тому, что средствами Nextcloud приходится создавать разграничения > по полномочиям с помощью более расширенного механизма групп. А это по сути > дупликация функций файловой системы! И она жрет ресурсы и не будет > никогда работать так стабильно как если > бы это была внутренняя функция файловой системы. Тот же Nextcloud вообще бы > НЕ занимался > функциями разграничения полномочий и по сути дублирования файловой системы! > По этому я и говорю, что система - я-мы-они капитально устарела, но > Unix и в часности Linux > не хочет и не видит необходимости что-то менять. Просто потому, что там > сидят программисты, > которым проще в консоле... У которых элементарно не хватает мозгов понять требования > сегодняшнего или точнее ВЧЕРАШНЕГО дня. > И поэтому Windows шагает по планете. А Linux ничего не может предложить > для бизнеса. > Да даже просто любых организаций где больше чем 2 человека. Т.е. > он предлагает но тот же самый LDAP с которым САМ работать > НЕ может. > Очевидное и элементарное, где одна группа пользователей включена в другую группу - > даже это отсутствует в Unix. До этой элементарной идей можно было > догадаться еще 50 лет назад. > И все потому что сидит такой Ваня и говорит - а мне > в консоле проще. А мне - не надо. > И по этому этот Ваня идет НА*ЕР. А приходит Microsoft и решает > задачи бизнеса. >> Это покрывает все сценария использования. >> В винде (active directory) ровно тоже самое, ибо другие методы просто сложно >> придумать. > Да. Точно так. Я совершенно НЕ спорю. Вот только Linux об этом > совершенно НЕ знает. > Что именно мешает раз и навсегда создать полную иерархию пользователей и групп? > Одно решение, которое покрывает автоматом ВСЕ варианты? > Где и пользователь и группа отличаются только атрибутом. Где каждый представляется с > помощью > UID. Где любая группа может входить в другие любые группы как и > обычный пользователь. > Пользователь с ID=5 это какой-то страшный пережиток прошлого. Я молчу про ID=0. > Сам факт получения ID=0 делает вас Богом в системе... Не какие-то там > права, вхождения в какие-то там группы или полномочия... А просто получи > 0 и радуйся. И вдруг ВСЕ права перестают действовать. > Это кто такое писал??? > Нет. Я не спорю в 1970 году это было даже круто. Компьютер > был только у меня и Майкла Джексона... > Но тут приходит в дискуссию "Ваня_83" и предлагает убрать LDAP, потому что > он устарел.... > А мы даже не доросли чтобы использовать возможности LDAP на 5%... > Windows дорос, а Linux - нет. > Но мозгов то у Вани_83 нет. Но зато это такие Вани коммитят > куда-то свой код... > P.S. А сейчас MS семимильными шагами идет и на территорию Linux... И > не дай бог они создадут для Linux то, о чем я > написал выше... Пользователей обычного Linux вообще не останется. > Деградирует в НОЛЬ. Опыт с Systemd удался на славу. Теперь полная интеграция > LDAP в Linux от Microsoft и все привет семье. С точки > зрения стратегии это очевидный шаг.
	Введите код, изображенный на картинке: