А не очень сложная реализация получается?🙄 - на серверы доступ

нужен для 3-5 человек, в компании несколько сотен пользователей и пачка виндоадминов которые вообще ничего знать не должны даже про большую часть серверов, но при этом нужны либо сложные политики по разграничению уровней доступа и про них всегда надо помнить либо держать отдельную систему куда синхронизировать из другой данные - опять же гемор какой то. Чем проще получается учитывая количество манипуляций?
При том что история про "уволился и надо забрать доступ" вообще прохладная т.кю в 8 случаев из 10 сетевого доступа то все равно не будет у уволенного, хотя и запустить 1 плейбук раз в год как бы не видится огромной проблемой.
Я в общем то не против схемы с лдапом, но я не вижу никакой простоты решения без учета того что вокруг лдапа нужно еще миллион действий с аудитом и прочим. Я понимаю конечно что про безопасность думать никто не любит, но схема с осознаным нажатием на кнопку запуска плейбука хотя бы заставит помнить о том что в принципе у кого-то куда-то доступ есть и это реально проще и безопаснее чем использовать общедоступный лдап и уж тем более проще если держать второй инстанс с юзерами только для доступа к серверам. А заввязывать на этих 3 человек еще и администрирование лдапа опять же не в тему - там еще штук 5 виндоадминов сидит для этого.
Я уж не говорю про то что делать кластер даже из виндового ад сомнительное удовольствие, а уж все остальные решения вообще тошноту вызывают(openldap мертворожденный, альфа версия redhat identity management в виде freeipa(к комерческой версии притензий нет вообще) которая может от любого чиха развалиться тоже такое себе удовлльсвтие, а все осталньое стоит таких денег что писать страшно), а ведь придется обеспечить работу из нескольких дц тк без сетевого доступа до этой бд на сервер будет очень тяжело попасть. Ладно если это дев или тестирование, но с продакшеном такая тема вообще не выглядит простой по сравнению с плейбуком из пары тасков и списком юзеров. При этом я не говорю что ansible в данном случае это правильный путь, но оно как-то сильно проще и безопаснее выглядит.
Конкретно мое мнение - людям вообще делать нечего на серверах, а если что-то надо подебажить на живую, на пару-другую серверов можно и ролью вкатить, не?

2 ответов

23 просмотра

ок, дополнительный критерий - мульти ДЦ

Благодаря таким велосипедистам костыльщикам. Спрос на адекватных ИТ специалистов никогда не пропадём. Ведь таким всегда - когда в руках молоток, вокруг все кажется гвоздями

Похожие вопросы

Обсуждают сегодня

Ребята, всем привет. Подскажите, пожалуйста, можно ли как-то через бота понять, что этого бота добавили в группу\канал и выдали ему права администратора?
Artem Stormageddon
9
Это переведённый текст с английского. Я не говорю на русском, но могу использовать переводчик Телеграм. Приветствую! Я начинающий веб-разработчик и все еще учусь. В настояще...
𐩱𐩪𐩣𐩱𐩲𐩺𐩡
2
А не хотим ли мы развлечься? 😉 Но так чтобы с пользой для наших профессиональных навыков?? 👨‍🎓👩‍🎓 Предлагаю на октябрь запланировать тестовый запуск новой командной игры "Игр...
Andrii Kurdiumov
2
Привет всем! Почему этот код не срабатывает при добавлении или удалении пользователя из чата? bot.on('chat_member', async (ctx) => { console.log(ctx); }) bot.launch({allo...
Alexander
5
у кого сколько оперативы на базе данных ?
АДИЛЬБЕК
4
Через бот апи возможно получить ID стикерпака? Не ссылку.
Vexylon [АФК до 09.09]
5
Привет Хочу сделать аналог iCloud’а для своих проектов, чтобы пользовательская информация хранилась в облаке, была доступна во всех сервисах, её можно было подсасывать везде)...
Виталий
9
В тг можно спарсить всех кто пишет в группе? Если список участников скрыт
S
3
код Event::listen('cms.page.display', function (&$content, $slug, $page, $html) { if (is_object($content)) { dump($content); } else { dump($s...
Point 111
3
Ребят, а двух-факторку для плагина Users и для бэкенда октября кто-то прикручивал? Поделитесь опытом
Constantine Anikin
4
Карта сайта