Linux déployé dans un groupe international - I have a dream

sammmy · Février 14, 2007, 10:49

Iaorana,
cette nuit, je ne sais pas ce qui m’a pris, j’ai rêvé d’informatique.

La plupart des grosses sociétés déploient ActiveDirectory pour gérer leur(s) structure(s) informatique.

Soit l’hypothèse que je suis le DSI d’un groupe international, je déploie uniquement des stations et serveurs linux.

Existe t-il une structure équivalente à l’AD ?

Ou bien tout serait gérable par des scripts (équivalent des GPOs) ?

C’est une discussion pour enrichir ma connaissance informatique, aussi, évitons de “troller” comme des oufs (moi le premier pardi).

KP2 · Février 14, 2007, 12:05

j’ai deja ete en mesure de faire ce genre de migration et j’ai deja reflechi a l’affaire. (bien entendu, j’ai pas fait la migration… pas par blocage de qui que ce soit mais juste pasque je suis parti avant :D)

AD est un tres bel outil pour repondre a une seule problematique : compenser la complexite effroyable et la lourdeur (d’administration) d’un os qui n’est pas franchement fait pour etre mis en reseau (en tout cas, il est mal fait).
Si tu arrives a te debarraser de windows, t’as deja reussi a renvoyer ton Georges-le-yeti-frais-mais-pas-pratique chez lui. Donc ca sert a rien de demander une brouette pour le trimballer alors que t’as une boite de tictac dans la poche. Un equivalent d’AD sous linux, c’est pareil : une solution “habituelle” sous windows mais pas du tout adaptee sous linux car il n’y a pas du tout les meme problemes a resoudre.

Il faut tout de meme retenir que AD repond a des problematiques universelles : authentification centralisee, gestion des autorisations, etc
Le reste de ces fonctionnalites (GPO, etc) n’est pas transposable dans un parc linux.
Les prob authentification sont deja resolu depuis longtemps sous linux (et unix) : raduis + ldap sont d’excellents systemes murs. Il faut s’appuyer aussi sur pam qui est particulierement flexible et bien fichu.
Pour les autres besoins sous linux (deploiement, conf, etc), je pense qu’il faut se baser entierement sur le systeme de packages.
On monte un serveur ftp respectant la structure necessaire au systeme de package de la distrib et toutes les conf, toutes les applis, tous les patchs sont packages et deployes par ce moyen car les stations pointent toutes exclusivement dessus.
Linux etant base sur des fichiers, il n’y a qu’a copier des fichiers et executer des commandes pour faire tout ce dont on a besoin.

Pour des besoins particuliers (admin distante en live, etc), qq scripts simples et betes feraient l’affaire grace a ssh.

Lors de mon “etude”, j’en etais arrive au fait que moins d’une dizaine de scripts seraient necessaire pour gerer un parc de stations sous linux quelque soit sa taille en plus de raduis +ldap, nfs, serveur de deploiement, dhcp, dns, etc

Les solutions actuelles de gestion de parc sous linux proposees par les grandes distribs (suse, redhat, etc) sont plutot complexes car elles proposent l’admin des stations windows aussi…
Sans stations windows, la complexite est divisee par un facteur 1000.

Le gros prob de linux est le mode deconnecte. Comment le faire marcher lorsque le commercial Mr GrosPognon est chez lui ou dans le train ?
Je ne connais pas de solution pour ca… Quoiqu’avec pam, il est surement possible de configurer une authentification locale en plus si necessaire. Mais je n’ai pas eu le temps d’aborder concretement ce probleme.

Le reste me parait etre du gateau.

moi1392 · Février 14, 2007, 1:05

si c’est juste pour l’authentification, tu peux configurer ça dans le nsswitch.conf, lui dire de regarder en premier les fichiers locaux, puis ceux de nis (par exemple)
par contre, un truc vraiment mal fichu avec l’utilisation de nis, c’est qu’il n’existe (ou alors j’ai pas réussi à le configurer) pas de mode “te fais pas chierr à essayer de le démarrer ou à binder le serveur, t’as même mpas de réseau ou t’es pas sur celui de l’entreprise” :paf:
pour résoudre ce soucis, je démarre en init 3 de chez moi (ajouté une entrée dans grub) dans lequel j’ai désactivé nis.
mais ma foie sa serait qu’il qu’il gère tout seul la déconnection et la reconnection. (surtout quand je mets un coup de pied dans ce #&$% de cable réseau et que du coup j’ai plus de réseau, le time out de nis est à 60 secondes…)

v_atekor · Février 14, 2007, 2:03

Y’a des packs à base de NFSv4/kerberos/nis

Dumbledore · Février 14, 2007, 4:04

ça me surprenait de ne pas voir Atekor venir vendre sa marchandise :ane:

Pour l’authentification en local en plus de ldap, c’est très faisable : tu mets un compte sur le ldap au monsieur et un compte en local et tu dois pouvoir modifier les priorités pour l’identification : par exemple chercher sur ldap avant de chercher en local. Et si tu lui mets les même uid de chaque côté, y a encore moins de problème pour les fichiers. Un script de synchro entre le portable et le serveur et hop.

KP2 · Février 14, 2007, 4:28

:MDR :MDR
il devrait se reconvertir en evangliste NFS. Monter NFS Europe et faire un appel aux dons pour acheter une page de pub dans le Times :ane:

TiBac · Juillet 5, 2007, 3:31

Sur que si je suis DSI dans un grand groupe j’ai tout intérêt à déployer des solutions linux avec des scripts maison de gestion. Le gros probleme de windows & AD c’est que c’est standard. N’importe quel admin réseau peut venir demain prendre ma place ou autre SSII de n’importe quel pays. Une fois basé sur des scripts maisons je deviens indéboulonable, c’est comme devenir fonctionnaire mais avec le gros salaire en plus ! Mais malheureusement mon patron ne me laissera pas faire. J’imagine encore assez mal un linux everywhere dans une multinationnale. Mais, le temps fait son oeuvre et peut être qu’un jour…

KP2 · Juillet 6, 2007, 12:30

a mon avis, le mec qui va sortir une solution complete pour un parc linux aura jamais de prob pour trouver un boulot…
Le risque est d’essayer de copier AD et/ou de proposer la gestion des stations windows.