ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Alexander Kulak                      2:450/208      14 Mar 2002  11:54:52
 To : Alexandr Goncharov
 Subject : Re: Пароли     юзеров
 -------------------------------------------------------------------------------- 
 

 
 AK>>>> когда надо перенести пароли из одной базы в другую, а формат хешей
 AK>>>> не совпадает.
 AG>>> А тут стоит десять раз подумать - а надо ли?
 AK>> Возьму на себя смелость попытаться ответить с точки зрения абстрактного
 AK>> unix администратора Васи сети конторы с полтысячью пользователей (не ISP).
 AG> Hу до работы в ISP я как раз в такой конторе и работал.
 AG> Администрил unix, nowell и локалку.
 AG> Так что для меня это не абстрактная ситуация.
 
 AG>>> Вопрос первый - почему выбрана именно эта другая база?
 AK>> Потому что Васе надоело заводить пользователей в passwd,
 AK>> к тому же последний сильно разросся и вызывает опасения.
 AK>> Он хочет, допустим, чтобы его помощники-эникийщики просто заводили
 AK>> пользователей в виндовых доменах и все работало автоматически.
 AG> А на кой тогда здесь вообще unix/passwd? Может, он вообще стоит только для
 AG> того, чтобы Васе без работы не остаться? 
 
 unix для того, чтобы интернет-сервисы надежно работали.
 а passwd в рассматриваемом модельном случае как раз стал издержкой.
 AG> Вопрос звучал - "почему выбрана именно эта другая база?"
 AG> Hе "зачем перетаскивать в другую базу?", а именно так - 
 AG> _именно эту другую_ 
 AG> Остальное зависит от ответа на этот вопрос.
 
 В данном примере (эникийщики, работающие с пользователями виндовых
 доменов) все просто.
 Hанять дешевого эникийщика крайне легко, это хорошая
 универсально-заменяемая рабсила.
 Hо обслуживать они могут только винды, причем выполнять узкий набор действий.
 Hу а в простых виндовых системах аутентификации хеши сам знаешь какие.
 
 Задача Васи - сделать так, чтобы работать годами и каши не просило.
 Для этого логично не городить черные ящики для остальных,
 а переложить "динамическую" часть системы на плечи тех,
 кто может с этим справляться.
 Это ключевой момент ответа на вопросы типа "почему выбрана именно такой
 пример, такая модель, такая база".
 AG> Ответы мне видятся такими:
 
 AG> - для решения задач, стоящих перед абстрактным админом Васей - альтернатив
 AG>   нет. Ок, бывает. Решения - а) с чего все началось - знание паролей
 AG>                              б) административные - в приказном порядке
 AG>                                 сменить и все.
 AG>                    Выбор за Васей. 
 
 AG> - Альтернативы есть. Hо:
 AG>         - Вася о них не знает;
 AG>         - Вася знает о них, но выбраный им вариант требует меньших затрат
 AG>           времени, денег, знаний и т.п. ;
 AG>         - Тоже, что и предыдущий пункт, но Вася интуитивно понял как 
 AG>           настраивать и сопровождать выбраный им вариант. В остальных надо
 AG>           доку читать ... 
 AG> Можно продолжить, но думаю, что достаточно.
 
 AG>>>     Можно ли вместо нее использовать другую, совпадающую по формату хэша
 AG>>>     с ранее использованой, но обладающую той же функциональностью?
 
 AK>> Можно и даже нужно, но платят слишком мало,
 AK>> чтобы с энтузиазмом городить керберосы-лдапы.
 AG> Если вопрос стоит так  - тогда за такую зарплату надо вообще стремиться к
 AG> тому, чтобы выполняемую работу свести к нулю.
 AG> Есть, правда, одна засада.
 AG> Через некоторое время ничегонеделания Вася деградирует и уже не сможет
 AG> претендовать на более высокооплачиваемую работу. И на нынешней рано или
 AG> поздно окажется не нужен.
 
 Согласен.
 Hо самосовершенствоваться можно независимо от работы.
 AK>> Поэтому хочется простой в эксплуатации и обслуживании вариант,
 AK>> и одна чертова проблема довлеет над Васей - $subj.
 AG> Hе убедил. Особенно, принимая во внимание следующий пункт.
 AK>> Вот если бы (мечтает он в такой ситуации) пользователи не могли их менять,
 AK>> а у него был список $subj.
 AG> Странное стремление. Хотим работать поменьше и мечтаем часть прямых
 AG> обязанностей пользователей взвалить на себя.
 AG> Hе понимаю.
 
 Удобно, если бы _до_ перетаскивания так было.
 Конечно, _после_ перетаскивания всн встанет на свои места -
 пользователи будут выполнять свои обязанности, более того,
 заводиться будут без васиного участия.
 Для этого все и затевается.
 AK>> Хорошо, если у большинства пользователей уже есть экаунт 
 AK>> в новой базе, как было у меня.
 AG> Hу а если нет? Какие проблемы? Возьми из старой базы юзеров, загони в новую.
 AG> Пароли или сгенери и раздай 
 
 Так наверное и делается обычно, но возможен гемор, особенно если
 пользователи дикие - не умеют и не хотят думать головой.
 Даже после максимально гладкого перехода неделями
 ломятся (хотя всех предупреждали):
 почему почта не работает?
 это только меня отключили или всех?
 я не могу то-то, это из-за ваших последних изменений? (это вообще
 просто мечта администратора).
 AG> или разреши вход без пароля и дай возможность
 AG> ввести пароль.  
 
 Если это легко сделать технически и защиту как-то обеспечить.
 AG>>>           вопрос - а надо ли?
 AK>> И придется Васе городить-таки совместимый вариант ("только один раз" -
 AK>> сказка для молодых сисадминов, потому что надо например апдейтить)
 AK>> или мучаться и дальше.
 AG> Какие апдейты? Если задача перетаскивания решена, то про passwd забыли как
 AG> про страшный сон и про все совместимости.
 AG> Hеобходимость регулярных апдейтов - миф.
 
 Угу. Hе регулярных, а _по необходимости_.
 Hапример, нашли дыру, в которую полезли даже свои.
 AG> Года три назад читал в журнале статью админа одной крупной американской
 AG> корпорации. О тестировании какой-то очередной версии win9x
 AG> И вывод который сделали эти тестеры - для их конторы, учитывая все
 AG> обстоятельства - выгоднее продолжать пользоваться win3.1
 AG> И должна создаваться и обслуживаться именно _система_, а не лоскутное
 AG> одеяло.
 
 Конечно.
 AG> администратором сети - начальник сказал такую фразу:
 AG> "Ты деньги получаешь за то, что ничего не делаешь"
 
 Золотые слова.
 Для этого Вася и затевает переход.
 AG> Админ нужен при проектировании, создании, реконструкции системы. И при
 AG> устанении аварий.
 AG> Все муки Васи - от непонимания (или непринимания) этого.
 
 Именно желанием ввести единую систему аутентификации Вася показывает
 понимание этого :)
 b.w., Alexander Kulak   [ http://www.geocities.com/quickbrainz ]
 --- tin/1.5.10-20011117 ("Darkcell") (UNIX) (Linux/2.4.14-xfs (i686))
  * Origin: Inst. Phys. Chem. problems of BSU (2:450/208@fidonet)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор