и с откатом на 2,1,0,0

норм работает? без серьезных косяков?

да тут все такое простое, что даже не знаю, кому оно еще понадобится, тот же debops намного подробнее

выложи, мне точно понадобится, в долгосрочной перспективе у меня есть огромное желание сделать грамотную роль и я когда вижу наработки - себе форкаю, потом займусь. спасибо.

Минутка саморекламы, мы запустили курс по ансиблу http://education.express42.com/devops-ansible

Чо почём?

31900 за два дня

плохая идея упроавлять пользователями через ансибл....

почему?\

Потому что с ростом кол-ва ролей и пользователей система плохо управляется

А если пользователей немного?

Зависит от масштаба

Особенно когда Васе надо вот на том сервере рута

Ну я повторю на условно 5 серверах есть сомнения в пользе ансибла. А на 50- ти будет точно программист с правами рута, но только на третьем воркере

Только молодость, только ldap?

И через два три года после первого такого уже следующая команда админом отхватит бэд дизайн

Не лдап, так sssd

ушел гуглить

чо вы так боитесь ldap'а?

Ты об этом? https://www.youtube.com/watch?v=sPBvId4wuaQ

чо вы так боитесь ldap'а?

Сеть.

Вход без сети

админ войдет. остальным делать нехуй на сервере, у которого сломалась сеть

Погоди, sssd ведь только кэширует

А хоронится все где?

У него

А база лдап :)

А, вот оно что

Потому что с ростом кол-ва ролей и пользователей система плохо управляется

согласен, что программеров может быть плохой идеей и правильнее таки ldap, но например саппорт един

согласен, что программеров может быть плохой идеей и правильнее таки ldap, но например саппорт един

В защиту плохого дизайна всегда есть аргументы

В защиту “хорошего” дизайна всегда есть контраргументы

Канешн

Или ты занешь хороший дизайн на все случаи жизни?

;-)

В защиту плохого дизайна всегда есть аргументы

когда пользователей меньше 5 это не плохой дизайн, а городить ради них лдап - "прежевременная оптимизация" и проч. Тоже совершенно неправильно

Или ты занешь хороший дизайн на все случаи жизни?

Там днк надо править а я не уверен что это сейчас можно...

к тому же, разворачиваем сайт - ему нужен юзер. Ровно на 1 сервере. Ровно 1. И привязка сайта и юзера - гвозями.

так что надо быть реалистом и не делать сложно там, где это не нужно

Окей. Уел.

админ войдет. остальным делать нехуй на сервере, у которого сломалась сеть

вот кстати да, админов может быть не 1, а сети нет. Давать всем рут пасс тоже не оч хорошо, к тому же это надо иметь доступ к физ консоли, так как руту по ссш по паролю пускать - моветон. Всё-равно кого-то надо заводить системно.

вот кстати да, админов может быть не 1, а сети нет. Давать всем рут пасс тоже не оч хорошо, к тому же это надо иметь доступ к физ консоли, так как руту по ссш по паролю пускать - моветон. Всё-равно кого-то надо заводить системно.

не в подъебку, а просто понять, с кем разговариваю. сколько серверов под управлением? а сколько максимум было?

сейчас мало, именно по работе штук 10, не больше. Года 3 назад было 8 стоек.

маловато

но достаточно

тем более непонятно, откуда такая каша в голове. вроде должен соображать

чтобы понять сложность обновления пароля такому админу? да.

но с ансиблом/аналогами это 1 запуск задачи.

добавить, удалить, залочить, поменять пасс..

и?

и админов мало. Юзеры были лдап

с чего ты взял, что "локальной учетки" для emergency (подчеркиваю, только для этого) быть не должно?

ее кто запретил? ЦК КПСС ?

одна на всех?

а все остальное - в лдап

что значит одна на всех?

одна для того, кто в настоящий момент дежурит

чтобы вошел и сеть починил

опять же, уволили сотрудника который про нее знал - менять пароль. На всех серверах. И уведомлять всех. (ключ в emergency не вариант)

знал? эм

а схуяли он ее знал?

еще лучше, каждую смену менять пасс

а как?

я тебе говорю, речь про лдап

подошел к серваку, прицепился к консоли..

лдап к emergency не имеет никакого отношения вообще

emergency значит лдапа нет

но ты почему-то начал рассказывать, что "лдап говно, потому что админы и вот это все"

но ты почему-то начал рассказывать, что "лдап говно, потому что админы и вот это все"

а ну-ка профы!

а я говорю, что пароли админов (ежедневные) лежат в лдапе, как у всех

я только сказал, что нужны не-лдап учетки, и всё

а emergency - не в лдапе

я только сказал, что нужны не-лдап учетки, и всё

а зачем ты это сказал, КО? кто-то говорил, что "нелдап учетки не нужны" ?

почему ты копетанствовать начал? :)

а теперь перечитай еще раз всё.

а зачем ты это сказал, КО? кто-то говорил, что "нелдап учетки не нужны" ?

ёп. Ну где логика? "нужны не-лдап-учетки" == "лдап не нужен"?

конечно нужны. был аргумент, "сети нет", я сказал, что если сети нет, будет учетка не в лдапе, для локального аварийного входа

все, вопрос исчерпан

речь именно про локальный аварийный вход

нет, началось, лдап-нелдап, как менять. да ансиблом и менять

но на самом деле нет

просто я удивился, что у тебя такая каша в голове про аварийные реквизиты для входа

какие-то админы, чото там все знают, уволились, надо менять потому что знали. <== вот это удивительно шо песец

и 10 админов. Для локального входа нужен пароль, его нужно менять иногда на всех серверах. А еще лучше, чтобы были ключевые сотрудники типа техдира со своей емерженси учеткой, доступной без лдапа. И вот уже не 1 юзер, который на сотнях серверов.

ох епт

а как ты локально залогинишься без пароля?

емерженси

без сети

десять админов и десять учеток для аварийного входа?

подчеркиваю, аварийного. в случае пожара разбить стекло

учеток может не 10 а например 3

но не 0

одна

о д н а

больше скажу, пароля никто не знает

уволились? да и х с н

все равно не знали

вот подошел ты к серверу, сети там нет. Залогинься без пароля

чтобы залогиниться, пароль нужен

дальше догадываешься уже?

....а я о чем твержу?

похоже нет

пол часа уже