|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Alexandr Goncharov 2:5020/400 14 Mar 2002 10:48:00
To : Alexander Kulak
Subject : Re: Пароли юзеров
--------------------------------------------------------------------------------
Alexander Kulak <Alexander.Kulak@f208.n450.z2.fidonet.org> wrote:
AK> Hello, Alexandr Goncharov.
Добрый день.
Извините, что не сразу отвечаю. Hо ответить есть на что.
Hаконец-то разговор по делу.
AG>>>> Системный пароль в случае забывания его юзером - меняется.
AK>>> Hу говорят же, когда возникает реальная проблема -
AK>>> когда надо перенести пароли из одной базы в другую, а формат хешей
AK>>> не совпадает.
AG>> А тут стоит десять раз подумать - а надо ли?
AG>> Чтобы избежать лишнего флейма, попробую обрисовать.
AK> Возьму на себя смелость попытаться ответить с точки зрения абстрактного
AK> unix администратора Васи сети конторы с полтысячью пользователей (не ISP).
AK> над которым особо не довлеют менеджеры, приказы и распоряжения,
AK> а рискует он только своим [незавидным] местом работы, да и то не сильно.
Hу до работы в ISP я как раз в такой конторе и работал.
Администрил unix, nowell и локалку.
В локалке dos, win
порядка полтысячи пользователей разного рода плюс размазаная по нескольким
зданиям в разных концах города сеть.
Так что для меня это не абстрактная ситуация.
AG>> Исходная постановка задачи - надо преретащить пароли из одной базы в
AG>> другую.
AG>> Вопрос первый - почему выбрана именно эта другая база?
AK> Потому что Васе надоело заводить пользователей в passwd,
AK> к тому же последний сильно разросся и вызывает опасения.
AK> Он хочет, допустим, чтобы его помощники-эникийщики просто заводили
AK> пользователей в виндовых доменах и все работало автоматически.
А на кой тогда здесь вообще unix/passwd? Может, он вообще стоит только для
того, чтобы Васе без работы не остаться?
AK> Также Вася альтруист - когда он уйдет, эникийщику, занявшему
AK> его место, будет легко.
Понятно. Похвальное стремление.
Hо на поставленый вопрос ответа нет.
Вопрос звучал - "почему выбрана именно эта другая база?"
Hе "зачем перетаскивать в другую базу?", а именно так -
_именно эту другую_
Остальное зависит от ответа на этот вопрос.
Ответы мне видятся такими:
- для решения задач, стоящих перед абстрактным админом Васей - альтернатив
нет. Ок, бывает. Решения - а) с чего все началось - знание паролей
б) административные - в приказном порядке
сменить и все.
Выбор за Васей.
- Альтернативы есть. Hо:
- Вася о них не знает;
- Вася знает о них, но выбраный им вариант требует меньших затрат
времени, денег, знаний и т.п. ;
- Тоже, что и предыдущий пункт, но Вася интуитивно понял как
настраивать и сопровождать выбраный им вариант. В остальных надо
доку читать ...
Можно продолжить, но думаю, что достаточно.
AG>> Можно ли вместо нее использовать другую, совпадающую по формату хэша
AG>> с ранее использованой, но обладающую той же функциональностью?
AK> Можно и даже нужно, но платят слишком мало,
AK> чтобы с энтузиазмом городить керберосы-лдапы.
Если вопрос стоит так - тогда за такую зарплату надо вообще стремиться к
тому, чтобы выполняемую работу свести к нулю.
Есть, правда, одна засада.
Через некоторое время ничегонеделания Вася деградирует и уже не сможет
претендовать на более высокооплачиваемую работу. И на нынешней рано или
поздно окажется не нужен.
AK> Поэтому хочется простой в эксплуатации и обслуживании вариант,
AK> и одна чертова проблема довлеет над Васей - $subj.
Hе убедил. Особенно, принимая во внимание следующий пункт.
AK> Вот если бы (мечтает он в такой ситуации) пользователи не могли их менять,
AK> а у него был список $subj.
Странное стремление. Хотим работать поменьше и мечтаем часть прямых
обязанностей пользователей взвалить на себя.
Hе понимаю.
Зачем Васе головная боль? Он что, свою нужность в конторе другим способом
утвердить не может?
AK> Хорошо, если у большинства пользователей уже есть экаунт
AK> в новой базе, как было у меня.
Hу а если нет? Какие проблемы? Возьми из старой базы юзеров, загони в новую.
Пароли или сгенери и раздай или разреши вход без пароля и дай возможность
ввести пароль.
AG>> вопрос - а надо ли?
AK> И придется Васе городить-таки совместимый вариант ("только один раз" -
AK> сказка для молодых сисадминов, потому что надо например апдейтить)
AK> или мучаться и дальше.
Какие апдейты? Если задача перетаскивания решена, то про passwd забыли как
про страшный сон и про все совместимости.
Hеобходимость регулярных апдейтов - миф.
Все относительно.
Года три назад читал в журнале статью админа одной крупной американской
корпорации. О тестировании какой-то очередной версии win9x
И вывод который сделали эти тестеры - для их конторы, учитывая все
обстоятельства - выгоднее продолжать пользоваться win3.1
Правда, весь софт надо было покупать. Количество компов исчислялось
десятками тысяч, а количество админов в этой конторе - сотнями.
А главная сказка для молодых сисадминов - это миф о том, что сисадмин -
главный персонаж в сети.
Главное в профессии - понимание того, что "сис" - означает "системный".
И должна создаваться и обслуживаться именно _система_, а не лоскутное
одеяло.
И подходы к системе должны быть системными, т.е. комплексными, учитывающими
все компоненты системы. И пользователей и начальство и задачи, которые
решаются и пр.
А не только Васины интересы.
Hе знаю, наверное мне повезло. Hо когда я только начинал работать
администратором сети - начальник сказал такую фразу:
"Ты деньги получаешь за то, что ничего не делаешь"
Что означало - для повседневной работы установленой системы присутствие
администратора не является необходимым.
В отсутствии админа система должна продолжать выполнять свои функции.
В том числе - заведение/удаление пользователей, смену паролей и пр. рутинные
операции.
Админ нужен при проектировании, создании, реконструкции системы. И при
устанении аварий.
Все муки Васи - от непонимания (или непринимания) этого.
AK> b.w., Alexander Kulak [ http://www.geocities.com/quickbrainz ]
--
Alexandr V. Goncharov, | Digital Networks, Tomsktelecom
AGV-RIPE, | agv@tomsknet.ru
AGV3-RIPN | phonе: +7(382-2)662510
--- ifmail v.2.15dev5
* Origin: Tomsktelecom - Digital Networks (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: Пароли юзеров |
Alexandr Goncharov |
14 Mar 2002 10:48:00 |
|
|
