Мнение типа "ха-ха-ха LDAP март" ?)

Ну, извините, по тридцатому разу как-то утомляет все заново спрашивать и объяснять

а что за мем с LDAP %current_month%?

Потом что минимум два раза в месяц(!) кто-то приходит с "классной идеей - управлять пользователями через Ansible". В периоды обострений - чаще.

Ну, тут регулярно люди приходят с задачей организации централизованного управления пользователями с помощью ансибл

а что в этом плохого, если надо, например, раскидать юзера по пачке хостов и закинуть ключи для доступа по ссщ?

По хэштегу #LDAP поищи.

В этом - ничего. Просто обычно потом тот же товарищ приходит с новой задачей: а как мне отобрать права у уже раскиданных пользователей, а также добавить новых и удалить старых, ничего при этом не сломав?

Правильно собирать факты и управлять ими. Да, не классическая задача ansible, но возможно же.

Возможно, но очень костыльно получится в итоге. Если человек понимает, что делает и зачем - то сам справится. Если же нет - упрется в кучу проблем и скажет, что вы посоветовали ему говно. И вообще весь ваш Ансибл говно. И вы сами тоже...

Ну, допустим. А какое решение будет не костыль?

Для централизованного управления пользователями? Специально сделанные для этого решения. Вроде того же LDAP, AD и всяких прочих SSO.

А чем LDAP - не хранилище фактов? Такое же, как и на ansible можно запилить, допустим.

Я не понимаю сути вопроса, если честно

почему протокол - не хранилище? Почему скайп - не файлообменник?

Вы ваш кейс с лупом по блоку так и не смогли нормально объяснить, например. Хотя вас вежливо спрашивали.

Ок. Напоминаю, я спросил в чем потолок управления пользаками на ansible. Был аргумент, вроде Обновление пользователей, ротация ключей, правильная обработка асинхронных сеансов кэширования и т.п. Затем, я спросил какое идеальное решение. Был ответ вроде LDAP, AD Так вот я и спрашиваю, чем LDAP лучше самописанного на ansible? В чем профит?

В отсутствии необходимости отлаживать велосипед?

Тем, что там задача ротации ключей и раскидывания прав уже решена внутри. И реализуется легко и просто, без лишних костылей и ограничений.

Так а в чем отличие то?))) Если бы все юзали только то, что есть, и не создавали свои продукты, то ничего бы нового никогда не появлялось бы.

Классика. "Это не я велосипед из костылей сделал, это я новатор!"

старое, проверенное, гибкое решение. Если есть время и желание,то можно и написать, но смысла не много.

Если для вас ни в чем - ради бога. Никто не мешает вам делать свой велосипед. Но и помогать его отлаживать не обязан.

В скорости распространения изменений пользователей. Если хотите управлять пользователями из ансибла - можете управлять доменом из ансибла. Рулить один хост/сервис сильно проще и быстрее, чем сотни хостов, для которых нужно вносить изменения в политиках пользователей (ещё и недоступны некоторые могут быть на момент раскатки ролей). Под ту же FreeIPA есть отличные модули

Вот.. Только об этом нужно сразу думать и не лезть переубеждать кого-то, что у него вопрос говно или цель хреновая. Лучше так и поступать. Есть нет понимания зачем это все и нет ответа как помочь, то лучше сразу отстраниться от этого вопроса.

С пониманием вы не помогаете

Так же как и вы с ответами...

Вас про смысл лупа по блоку несколько раз спросили. Вежливо. Вы так и не ответили

Так это вы на вопросы по существу не отвечаете

это же builtin модуль… читаешь базовые возможности ансибля и прикидываешь на какие ручные задачи можно его применить…

ну как бы это неправильный подход. Нормальный - это изучать проблемы и подбирать подходящий инструмент для их решения

внедряем ансибл для решения одной проблемы и смотрим какие он ещё может решить

неправильный подход, опять же

Главное, не создать при этом новые

ну внедрение LDAP я оцениваю в несколько дней своей прямой работы и хз сколько времени на обучение, исключительно для задачи управления юзерами и их ключами на серверах, которые я админю - перебор по-моему. ну и IaC хочется в гите держать

ldap - это не про хранение просто. Это про интеграцию.

не знаю конечно. лет 15 назад немного с AD работал и всё. По советам из этого чатика начал изучать и оценил в несколько дней внедрение на базе freeipa

ключевое “если знать” Плюс в виндомире оченьь много где интеграция с ним из коробки