Скоро - через 2,5 недели - еду на курсы DBA 10 и надеюсь удастся осознать и понять то, о чем там будут говорить. Не запомнить как поэтапные инструкции к выполнению, а именно понять и разложить полученные знания по полочкам как можно быстрее и как можно глубже.
У меня имеется опыт прослушивания 4-ех авторизованных курсов от MS и 1-го от Oracle и ... я понял, что понять и осмыслить тот объем информации, который нужно освоить "галопом по Европе" во время курсов просто невозможно физически, так как очень мало времени для этого и трудно смоделировать настоящие проблемные ситуации, которые могут возникать.
Поэтому думаю, что для максимального понимания, послекурсовой "домашний" практикум по тем же Student Guide обязателен. Прохождение которого как правило впоследствии помогает быстрее осмыслить проблему, разобраться в рабочей проблеме и найти оптимальный путь ее решения.
Да, как я помню, тогда по окончанию курсов всегда не было времени на этот домашний практикум по Student Guide, но .... возможно просто я неправильно расставлял приоритеты.
Да, после первых 3 курсов, MS занимаясь каждый день по вечерам во время курсов, я все же смог сдать экзамен на MCP Windows NT Server 4. Но впоследствии работая в этой области, я много раз убеждался как много я еще не знаю. Тогда после курсов я также не смог повторить домашний практикум.
Т.е. нынче надо будет собраться и после этих курсов по максимуму прогонять их в вечернее время. Очень надеюсь на это будет оставаться время и силы.
От прохождения домашнего практикума зависит то, как я быстро приближусь к тому, чтобы стать Oracle DBA.
И я спрашиваю себя: "Хорошо это уяснил? Через 3-4 месяца посмотрим".
Wednesday, September 27, 2006
Vintela Authentication Services
Совсем недавно - позавчера - я узнал, что есть возможность приобрести Vintela Authentication Services и так обрадовался, что написал по этому поводу в форум, в котором 2 месяца назад я задавал вопрос по AD-авторизации в Solaris.
http://forum.sun.com/jive/thread.jspa?threadID=102574&tstart=0
В ответ на директиву высказать мнение о целесообразности покупки VAS я написал директорату:
"По решению от Vintela - как единая система для AD-authz для всех хостов нашей компании, данная технология может быть наиболее адекватной для наших нужд.
Но конечно желательно его предварительно протестировать в нашем зоопарке разных ОС и платформ.
В данный момент ситуация с тестированием AD-авторизации на UNIX-подобных системах у нас такая:
1) Для настройки единой аутентификации в разных Unix ОС, которые есть у нас можно использовать встроенные Native либо OpenSource-средства типа OpenLdap, PADL и MIT Kerberos, но везде приходится сталкиваться с нюансами, которые характерны для той или иной ОС. И разворачивание данного решения на наших рабочих UNIX-хостах может потребовать немало времени.
2) Решение с аутентификацией и авторизацией данными средствами работает в настоящий момент на трех тестовых серверах на базе ОС:
- Solaris 10x (10.25.66.222);
- HP UX 11 v2 (10.25.38.2);
- CentOS 4.3 (10.25.66.251).
но везде встала проблема с разграничением доступа к данным серверам по принадлежности AD-пользователей к тем или иным группам AD - независимо от принадлежности к соответствующим группам в AD и pam-политики UNIX-сервера пользователь авторизуется. Причем использовались разные средства, как native так и openldap и средства от padl.com.
Например, проблема c CentOS 4.3 проиллюстрирована ниже: пользователь test, который не являясь членом группы AD-DBA, авторизуется на CentOS, хотя при входе выскакивает баннер о необходимости быть членом этой группы для успешного входа.
login as: test
test@10.25.66.251's password:
You must be a msSFU30MemberUid of CN=AD-DBA,OU=UNIX-Groups,OU=UNIX-OU,DC=testdomain,DC=ru to login.
Last login: Mon Sep 25 12:24:13 2006 from ws234.testdomain.ru
[test@centest ~]$ id
uid=10118(test) gid=10007(AD-Adms) groups=10007(AD-Adms)
[test@centest ~]$
В Solaris и HP-UX также присутствует данная проблема, просто без подобного баннера.
3) Рано или поздно появится необходимость монтирования при помощи smbclient-ов домашних директорий пользователей AD с файлового сервера.
А это опять свои нюансы на каждой ОС. Т.е. для задейстования автомонтирования при логоне посредством Samba-клиентов возможно тоже потребуется бубен.
4) Это субъективно, но во многих форумах по решению тех или иных проблем с AD-авторизацией на UNIX-машинах, я не единожды встречал реплики о том, что сменив танцы с бубном на решение от Vintela подобные проблемы исчезли.
Вышеперечисленные пункты можно отнести в пользу тестирования решения от Vintela.
Также немаловажно наличие поддержки от их российского представительства.
http://forum.sun.com/jive/thread.jspa?threadID=102574&tstart=0
В ответ на директиву высказать мнение о целесообразности покупки VAS я написал директорату:
"По решению от Vintela - как единая система для AD-authz для всех хостов нашей компании, данная технология может быть наиболее адекватной для наших нужд.
Но конечно желательно его предварительно протестировать в нашем зоопарке разных ОС и платформ.
В данный момент ситуация с тестированием AD-авторизации на UNIX-подобных системах у нас такая:
1) Для настройки единой аутентификации в разных Unix ОС, которые есть у нас можно использовать встроенные Native либо OpenSource-средства типа OpenLdap, PADL и MIT Kerberos, но везде приходится сталкиваться с нюансами, которые характерны для той или иной ОС. И разворачивание данного решения на наших рабочих UNIX-хостах может потребовать немало времени.
2) Решение с аутентификацией и авторизацией данными средствами работает в настоящий момент на трех тестовых серверах на базе ОС:
- Solaris 10x (10.25.66.222);
- HP UX 11 v2 (10.25.38.2);
- CentOS 4.3 (10.25.66.251).
но везде встала проблема с разграничением доступа к данным серверам по принадлежности AD-пользователей к тем или иным группам AD - независимо от принадлежности к соответствующим группам в AD и pam-политики UNIX-сервера пользователь авторизуется. Причем использовались разные средства, как native так и openldap и средства от padl.com.
Например, проблема c CentOS 4.3 проиллюстрирована ниже: пользователь test, который не являясь членом группы AD-DBA, авторизуется на CentOS, хотя при входе выскакивает баннер о необходимости быть членом этой группы для успешного входа.
login as: test
test@10.25.66.251's password:
You must be a msSFU30MemberUid of CN=AD-DBA,OU=UNIX-Groups,OU=UNIX-OU,DC=testdomain,DC=ru to login.
Last login: Mon Sep 25 12:24:13 2006 from ws234.testdomain.ru
[test@centest ~]$ id
uid=10118(test) gid=10007(AD-Adms) groups=10007(AD-Adms)
[test@centest ~]$
В Solaris и HP-UX также присутствует данная проблема, просто без подобного баннера.
3) Рано или поздно появится необходимость монтирования при помощи smbclient-ов домашних директорий пользователей AD с файлового сервера.
А это опять свои нюансы на каждой ОС. Т.е. для задейстования автомонтирования при логоне посредством Samba-клиентов возможно тоже потребуется бубен.
4) Это субъективно, но во многих форумах по решению тех или иных проблем с AD-авторизацией на UNIX-машинах, я не единожды встречал реплики о том, что сменив танцы с бубном на решение от Vintela подобные проблемы исчезли.
Вышеперечисленные пункты можно отнести в пользу тестирования решения от Vintela.
Также немаловажно наличие поддержки от их российского представительства.
Subscribe to:
Posts (Atom)