годится для систем где юзеров мала. 3-5
согласен, у меня не стоит задача управления юзерами, это только на этапе сетапа
Pavel
Alibek
вообще идея упоавления уз через ансибл крайне неудачная
нормальная идея, на хостах всё равно не должно быть более 5 пользователей, а вот хостов может быть много.
Alibek
Ну не везде годно авторизовать по ldap
Pavel
Я вот от этого хочу уйти, один пользователь - одно описание, на все хосты
тогда я бы вынес хешированный пароль в переменные для роли, которая этого юзера накатывает
Aleksey
Dima
вообще идея упоавления уз через ансибл крайне неудачная
какие проблемы возникают когда их много?
Aleksey
увольняются. меняют права. группы.
Alibek
тогда я бы вынес хешированный пароль в переменные для роли, которая этого юзера накатывает
у меня оно вынесено, проблем в другом - как объединять переменные в словарь из разных файлов.
Aleksey
и как это делать ?через отдельный плейбук ? или через часть роли
Aleksey
если отдельный плейбук то как сделать что бы конкретному одному дать больше прав чем его группе
Aleksey
если через ролевые плейбуки то как обеспечить синхронизацию всего дела когда плейбуков множество
Aleksey
такие вот вопросы
Pavel
увольняются. меняют права. группы.
наверное, это уже надо не через системных пользователей....
Alibek
Pavel
или им всем нужен логин на сервер?
Aleksey
я про живых юзеров ваапщета.
Pavel
я про живых юзеров ваапщета.
им всем нужен доступ на логин к серверу? или доступ к какому-то сервису?
Aleksey
ак и так и так
Alibek
А каким местом управление пользователями хоста относится к управлению пользователями сервиса?
Alibek
или речь о samba и иже с ним?
Aleksey
я про обычных системных пользователя. некоторые должны быть на хосте.
бывает что там 100500 деволпсов и немного девов или путок опсов
Aleksey
и вот внутри этого дела бывает надо управлять правами юзеров
Aleksey
особено в мультипроектных системах
Aleksey
когда какой нить dba должен быть везде, но кое где рутом а гдето нет
Aleksey
и вот тут ансибл сливается очень
Aleksey
и надо кокой нить ipa
Alibek
Ну не то что-бы сливает, просто задача у ansible проще, у меня для случая с dba решается разным экземпляром описания переменных для хоста или группы хостов. Если человек уволился - то смена пароля и ключей в файле описания юзера.
Но так-то да централизовано оно получше будет, ну тут есть возможность накатить на хост авторизацию по ldap или использовать схему ansible pull.
Aleksey
там тоже бывают варианты
Gleb
проблема еще в том что ансибл надо руками дёргать или пилить что-то вокруг
Gleb
а не просто поставить галочку что челвоек уволен и права отобрались везде
Алексей
проблема еще в том что ансибл надо руками дёргать или пилить что-то вокруг
Тут вам скорее salt нужен.
Алексей
Нет
Gleb
не надо, будет поддерживать заданное состояние
Alf 🙀
не надо, будет поддерживать заданное состояние
пока highstate не сделаете руками никто последнее состояние к вам не завезет, насколько я помню. может что поменялось конечно
Gleb
пока это выглядит намного проще в реализации
Alf 🙀
ну а перед этим конечно надо сделать git pull а потом сделать salt state.highstate
Alf 🙀
выглядит это ровно точно так же как и с ансиблом с единственной разницей в салте есть зеромку в ансибле нет. если люди которым это нравится.
Alf 🙀
с другой стороны есть товариши который чеф по крону пускают, вот у них там полное удовольствие от поддержания последнего состояния...
Gleb
я сейчас вообще тестирую foreman
Gleb
концепция с ансиблом и раскатой из кучи мест вообще стрёмная, а централизовать не выходит когда у людей доступ есть
Alf 🙀
концепция с ансиблом и раскатой из кучи мест вообще стрёмная, а централизовать не выходит когда у людей доступ есть
а не должна ли раскатка иметь место по зелененькому в ci? а не потому что сегодня васе приспичило накатить...
Gleb
когда у тебя всё классно сделано то конечно да
Gleb
когда у тебя страшный огромный госпроект - боятся
Sergey
там тоже бывают варианты
там нужно предварительно планировать, как именно и что именно делать
Sergey
пользователи из LDAP - вещь.
в "искаропки" можно сделать "разрешено всем", "разрешено только тем, кому разрешено", "разрешено только тем, кто входит в конкретную группу"
на мой вкус - вполне достаточно.
Sergey
не говоря уже о всяких фокусах, которые возможны с sudoers
Dima
ну вот кстати у меня есть один знакомый, у которого пользователи для windows/linux живут в LDAP. однажды после обновления LDAP он потерял доступ ко всем серверам.
Dima
(а причиной тому стал баг в контроллере LDAP)
maniac
ну ок, посмотрел я на выходных на солт, в целом приятно.
но документация!
Dima
"три фора пять ифов - хуярим дальше"? ) (с)
maniac
где посмотреть список работающих ключей для профиля для salt-cloud например
maniac
ну т.е. кроме исходников
Alf 🙀
солт-клауд это вообще отдельная балалайка.
Alf 🙀
если я ничего не путаю.
Dmitry
ну вот кстати у меня есть один знакомый, у которого пользователи для windows/linux живут в LDAP. однажды после обновления LDAP он потерял доступ ко всем серверам.
blue green deployment и "тестируй, что обновляешь", он для недостаточно глупых и недостаточно смелых, понятное дело :)
Dmitry
вот, кстати, есть у меня один знакомый (с) у которого как-то было всего лишь 90 тысяч учеток в LDAP, так приходилось все проверять, перед тем, как обновить :)))
Dima
blue green deployment и "тестируй, что обновляешь", он для недостаточно глупых и недостаточно смелых, понятное дело :)
согласен, да. тесты там были конечно же, но не совсем полные. проблемы начались через несколько часов, когда перегрузили два серванта и обнаружили что аутентификация в LDAP отпадывает после ребута.
maniac
ну мне солт как раз понравился этим salt-cloud и salt-ssh
у меня масштабы очень маленькие, поэтому не вижу смысла держать еще и мастер
Alf 🙀
салт клауд прекрасно заменяет терраформ если вам надо в облака.
maniac
я облака до этого ансиблом собсно и строил, не знаю зачем терраформ
maniac
у меня тут амазон, опенстэк со вкусом рэкспейса и немножко вмварь виклауд чтоб жизнь малиной не казалась.
maniac
я из-за последнего и начал смотреть в сторону salt-cloud, потому что он объявлен диприкейтед ансиблом (да и вмварью).
как заказчик сегодня сказал что наверное и оттуда будем съезжать.
Gleb
пользователи из LDAP - вещь.
в "искаропки" можно сделать "разрешено всем", "разрешено только тем, кому разрешено", "разрешено только тем, кто входит в конкретную группу"
на мой вкус - вполне достаточно.
и что брать? у freeipa обычные болячки openldap, есть какое-то решение хотя бы полукоробочное где база не разваливается?
greydjin
Они раньше платные были, но два или три года назад ушли в opensource. Мне нравится
Dmitry
как у вас получалось развалить базу openldap, расскажите?
Dmitry
зачем нужны freeipa, кстати. в смысле зачем вообще нужны все эти наслоения гамна, кроме чистого openldap
greydjin
Openldap меняет scheme при смене версий. Обновляешься и поиск объектов из систем которые подключаются к openldap перестает работать
Dmitry
c 2.х на 3.x чтоли?
Sergey
да его вроде нет ещё 3.х
Sergey
и что брать? у freeipa обычные болячки openldap, есть какое-то решение хотя бы полукоробочное где база не разваливается?
вон ReOpenLDAP пользуй - в мегфоне стоит и не разваливается, даже в multi-master
Dmitry
ну значит мне везло, потому что у меня было минимум стандартных схем
Gleb
это не коробочное решение, не охота с этим из консоли работать, морду самому писать?