Ну, извините, по тридцатому разу как-то утомляет все заново спрашивать и объяснять
а что за мем с LDAP %current_month%?
Потом что минимум два раза в месяц(!) кто-то приходит с "классной идеей - управлять пользователями через Ansible". В периоды обострений - чаще.
Ну, тут регулярно люди приходят с задачей организации централизованного управления пользователями с помощью ансибл
а что в этом плохого, если надо, например, раскидать юзера по пачке хостов и закинуть ключи для доступа по ссщ?
По хэштегу #LDAP поищи.
В этом - ничего. Просто обычно потом тот же товарищ приходит с новой задачей: а как мне отобрать права у уже раскиданных пользователей, а также добавить новых и удалить старых, ничего при этом не сломав?
Правильно собирать факты и управлять ими. Да, не классическая задача ansible, но возможно же.
Возможно, но очень костыльно получится в итоге. Если человек понимает, что делает и зачем - то сам справится. Если же нет - упрется в кучу проблем и скажет, что вы посоветовали ему говно. И вообще весь ваш Ансибл говно. И вы сами тоже...
Ну, допустим. А какое решение будет не костыль?
Для централизованного управления пользователями? Специально сделанные для этого решения. Вроде того же LDAP, AD и всяких прочих SSO.
А чем LDAP - не хранилище фактов? Такое же, как и на ansible можно запилить, допустим.
Я не понимаю сути вопроса, если честно
почему протокол - не хранилище? Почему скайп - не файлообменник?
Вы ваш кейс с лупом по блоку так и не смогли нормально объяснить, например. Хотя вас вежливо спрашивали.
Ок. Напоминаю, я спросил в чем потолок управления пользаками на ansible. Был аргумент, вроде Обновление пользователей, ротация ключей, правильная обработка асинхронных сеансов кэширования и т.п. Затем, я спросил какое идеальное решение. Был ответ вроде LDAP, AD Так вот я и спрашиваю, чем LDAP лучше самописанного на ansible? В чем профит?
В отсутствии необходимости отлаживать велосипед?
Тем, что там задача ротации ключей и раскидывания прав уже решена внутри. И реализуется легко и просто, без лишних костылей и ограничений.
Так а в чем отличие то?))) Если бы все юзали только то, что есть, и не создавали свои продукты, то ничего бы нового никогда не появлялось бы.
Классика. "Это не я велосипед из костылей сделал, это я новатор!"
старое, проверенное, гибкое решение. Если есть время и желание,то можно и написать, но смысла не много.
Если для вас ни в чем - ради бога. Никто не мешает вам делать свой велосипед. Но и помогать его отлаживать не обязан.
В скорости распространения изменений пользователей. Если хотите управлять пользователями из ансибла - можете управлять доменом из ансибла. Рулить один хост/сервис сильно проще и быстрее, чем сотни хостов, для которых нужно вносить изменения в политиках пользователей (ещё и недоступны некоторые могут быть на момент раскатки ролей). Под ту же FreeIPA есть отличные модули
Вот.. Только об этом нужно сразу думать и не лезть переубеждать кого-то, что у него вопрос говно или цель хреновая. Лучше так и поступать. Есть нет понимания зачем это все и нет ответа как помочь, то лучше сразу отстраниться от этого вопроса.
С пониманием вы не помогаете
Так же как и вы с ответами...
Вас про смысл лупа по блоку несколько раз спросили. Вежливо. Вы так и не ответили
Так это вы на вопросы по существу не отвечаете
это же builtin модуль… читаешь базовые возможности ансибля и прикидываешь на какие ручные задачи можно его применить…
ну как бы это неправильный подход. Нормальный - это изучать проблемы и подбирать подходящий инструмент для их решения
внедряем ансибл для решения одной проблемы и смотрим какие он ещё может решить
неправильный подход, опять же
Главное, не создать при этом новые
ну внедрение LDAP я оцениваю в несколько дней своей прямой работы и хз сколько времени на обучение, исключительно для задачи управления юзерами и их ключами на серверах, которые я админю - перебор по-моему. ну и IaC хочется в гите держать
ldap - это не про хранение просто. Это про интеграцию.
не знаю конечно. лет 15 назад немного с AD работал и всё. По советам из этого чатика начал изучать и оценил в несколько дней внедрение на базе freeipa
ключевое “если знать” Плюс в виндомире оченьь много где интеграция с ним из коробки
Обсуждают сегодня