Домен в вычислительном центре ВУЗа (даже гугл не понимает таких грандиозных замыслов)

[mieczeslaw]

существует ли механизм самостоятельной регистрации юзеров с клиентских машин (через веб-интерфейс, например)?

написать минут за 10 на пыхпыхе формочку, которая потом вызывает adduser?) ну не совсем так, конечно, но там жеж и в домене все консольное - вызывать откуда угодно можно.

Ох... если бы кто-нибудь написал, был бы очень благодарен. Поскольку сам с ПХП не встречался, все больше С++

[arkhnchul]

ну на C++. Какая там разница, на чем cgi написано?

[arkhnchul]

чото типа такого
html-ка:

Код: Выделить всё

<form method="post" action="./user_add.php">
<input name="user" type="text" >
<input name="pass" type="password">
<input type="submit" text="registartion">
</form>

user_add.php:

Код: Выделить всё

#!/usr/bin/php
<?php
$name=$_POST['user'];
$pass=$_POST['pass'];
$status=`useradd -p \`crypt $pass\` $name`;
echo "useradd returns: ",$status;
?>

за правильность не ручаюсь ни разу, но направление действий такое)

[mieczeslaw]

Примем к сведению... Спасибо.
Сегодня поставил VirtualBox у себя на сервере. Не хочется опыты ставить на "живой" системе. Тормозит, правда (причем голая командная строка тормозит, без иксов ) - видеокарта слабая. Ну да ладно. Не будем падать духом.

[neol]

user_add.php:

Код: Выделить всё

#!/usr/bin/php
<?php
$name=$_POST['user'];
$pass=$_POST['pass'];
$status=`useradd -p \`crypt $pass\` $name`;
echo "useradd returns: ",$status;
?>

за правильность не ручаюсь ни разу, но направление действий такое)

За такой код надо руки отрубать. После чего четвертовать, расстреливать и сжигать на костре. Переменные из формы надо проверять и не стоит давать возможность регистрировать 150 пользователей в минуту с одного IP. Это во-первых.
Во-вторых, если используется LDAP (а он вроде как будет использоваться), то логичнее будет стучаться к нему через специально обученный модуль php, а не изобретать монструозные конструкции с применением exec(), sudo и т. п.

[arkhnchul]

я чтонить говорил по поводу "вот так и оставить и прям так внедрить"?))) направление действий - выдернуть из запроса логин/пароль и потом как угодно использовать - указано, остальное уже пусть тс пишет.

[murder]

Как-то вы заморочились) Но имхо то, что вы хотите сделать - полный бред или преглупейшая времянка + даром потраченное время.
На вашем месте я бы приобрел 1 хороший сервер, развернул бы на нем AD. И 90% ваших задач решено.

У нас в университете именно так это и реализовано, единственно только то, что пользовательские файлы хранятся локально и всего неделю, т.к. студентов "попросили" купить флешки. В итоге студент может сесть за любой компьютер, а мы ему предоставляем рабочее пространство. Все довольны.

[mieczeslaw]

Как-то вы заморочились) Но имхо то, что вы хотите сделать - полный бред или преглупейшая времянка + даром потраченное время.
На вашем месте я бы приобрел 1 хороший сервер, развернул бы на нем AD. И 90% ваших задач решено.

У нас в университете именно так это и реализовано, единственно только то, что пользовательские файлы хранятся локально и всего неделю, т.к. студентов "попросили" купить флешки. В итоге студент может сесть за любой компьютер, а мы ему предоставляем рабочее пространство. Все довольны.

Почему же даром потраченное. Все интереснее, чем просто убивать время на работе (а примерно такой выбор и есть: либо колдуешь что-нибудь с сервером и сеткой, либо бездумно по инету бродишь ). А задачка с самого начала и ставилась - под имеющееся железо.
P.S. В среду постараюсь закончить с контроллером домена на виртуалке, будем тестировать (еще 2-3 виртуалки на клиентских машинах). Потом ковыряться с механизмом регистрации. Потом, вероятно, переносить КД на "настоящую" систему. И потом только воплощать мою утопию с единым дисковым пространством.

[mieczeslaw]

Ну вот. Вчера закончил основную конфигурацию КД, остановился сейчас на squid'e. Двигаемся понемногу.

[mikes]

небольшой оффтоп
mieczeslaw разве в универе нет управления ИТ какого нить, в котором есть ресурсы и полномочия на такие вещи? почему ради двух классов такой огород городить. спрашиваю потому что сам работаю в ВУЗе.. и у нас подобные задачи решаются совершенно другими методами.

[mieczeslaw]

небольшой оффтоп
mieczeslaw разве в универе нет управления ИТ какого нить, в котором есть ресурсы и полномочия на такие вещи? почему ради двух классов такой огород городить. спрашиваю потому что сам работаю в ВУЗе.. и у нас подобные задачи решаются совершенно другими методами.

Эх, наверно есть, но лично я как-то слабо ощущаю его наличие. Они все больше занимаются раздачей интернета по всему универу, а там тоже нехилая сетка в целом.

[mikes]

ну вот и попробуйте туда обратится, к сожалению в ВУЗах часто такое есть, какая нить кафедра пытается создать своё маленькое государство и начинаем придумывать чудеса, а нужно то всего ничего, включить компы в вузовский AD и выделить сервер (или просто 1-2 тб на дисковом накопителе) для пользовательский данных или перемещаемых профилей.

[rm_]

Делать откровенное говно интереснее?

имхо то, что вы хотите сделать - полный бред или преглупейшая времянка + даром потраченное время.
На вашем месте я бы приобрел 1 хороший сервер, развернул бы на нем AD.

нужно то всего ничего, включить компы в вузовский AD и выделить сервер (или просто 1-2 тб на дисковом накопителе) для пользовательский данных или перемещаемых профилей.

Правильно, зачем это высшему учебному заведению экспериментировать с новейшими проектами распределённых ФС и вообще, интересоваться передним краем computer science (глупость какая для ВУЗ-а, правда?), давайте-ка лучше щёлкнем им по носу чтоб не высовывались, а тупо настроили быдловиндовый быдлоAD и терабайт на файлопомойке.

neol
murder
mikes
из-за таких как вы, эта страна™ и наука в ней, и находятся в полнейшей заднице, и ещё долго будут там пребывать.

[mikes]

Правильно, зачем это высшему учебному заведению экспериментировать с новейшими проектами распределённых ФС и вообще, интересоваться передним краем computer science (глупость какая для ВУЗ-а, правда?), давайте-ка лучше щёлкнем им по носу чтоб не высовывались,

научитесь разделять эксперименты и рабочий процесс, или вы считаете что потерянные данные студентов и простой учебного класса это ерунда?
а может в одном учреждении должна быть полная анархия,и всем раздать права администратора под знаменем науки?

много ли вы знаете о том как строится наука в вузах?
у нас между прочим, для экспериментов есть отдельные подсети и n серверов с vmware esx для быстрого построения любых конфигураций.

а тупо настроили быдловиндовый быдлоAD и терабайт на файлопомойке.

пора бы вырасти из ненависти к windows.. по-детски это выглядит
по мне для рабочих задач террабайт в raid6 лучше чем террабайт в распределённой (в конкретной ситуации) фс

из-за таких как вы, эта страна™ и наука в ней, и находятся в полнейшей заднице, и ещё долго будут там пребывать.

весьма голословное утверждение, как я уже сказал, различайте науку и рабочие моменты построения локальных сетей.

[neol]

давайте-ка лучше щёлкнем им по носу чтоб не высовывались, а тупо настроили быдловиндовый быдлоAD и терабайт на файлопомойке.

Умно настроили. И выкинули из своего лексикона и сетей файлопомойки, заменив их файловыми хранилищами.
Над тем, почему в сети с Windows клиентами рулит и педалит Windows Server, можете поразмышлять самостоятельно или в отдельной теме.

из-за таких как вы, эта страна™ и наука в ней, и находятся в полнейшей заднице, и ещё долго будут там пребывать.

http://demotivation.ru/images/20090226/p4edulouu0wr.jpg

[mieczeslaw]

Мда, пока не заглядывал на форум, тут целый локальный холивар прошёл Что могу сказать... "Проект" перелез с виртуалки на собственное железо, и неплохое железо (2 ядра, 2 ГБ памяти). Я начал настройку заново и сегодня доехал-таки до конца того самого мануала. Для проверки добавил 2 пользователей - заходят, выходят, сохраняют настройки... всё как положено.
Заметил 2 мелких странности. 1)Если пользователь А вышел из системы, а вслед за ним зашёл пользователь Б, то у Б на рабочем столе будет просто синий фон, пока он не слазит в свойства экрана и не нажмет ОК. Тогда появляются обои. Но это и правда мелочь. 2)Каждый раз при входе как Administrator получаю предупреждение: ваш перемещаемый профиль не найден, затем - ваш локальный профиль не найден. При выходе все изменения будут потеряны. На контроллере в папке /home/samba/profiles и вправду отсутствует админский профиль. Я так понимаю, это и задумывалось?
А вот теперь не мелкий вопрос, хотя, может, и простой. На контроллере работает squid. Что мне вписать клиентам в настройки прокси? В мануале об этом ничего не сказано, но в интернет мои рабочие станции сейчас не могут выйти. Пробовал ставить галочку "автоматическое определение настроек", пробовал писать вручную - 192.168.100.125:80 (это адрес контроллера), 192.168.100.125:8080, 192.168.100.125:3128. Бесполезно. Похоже, верный порт все жё 80, потому что с остальными вообще не находит удалённого сервера (yandex.ru, скажем) а с 80-м выдаёт 403-ю (если обращаешься к корню сайта) либо 404-ю (если обращаешься к подразделу) ошибку. По идее, сквид должен раздавать интернет только в локалку - айпишник клиента 192.168.100.151. Прилагаю конфиг сквида:

Код:

acl all src all acl manager proto cache_object redirect_program /usr/bin/squidGuard acl our_networks src 192.168.100.0/24 acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl SSL_ports port 3128 acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT http_access allow our_networks http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports # http_access allow localhost http_access deny all icp_access allow localnet icp_access deny all http_port 3128 hierarchy_stoplist cgi-bin ? access_log /var/log/squid/access.log squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 acl apache rep_header Server ^Apache broken_vary_encoding allow apache extension_methods REPORT MERGE MKACTIVITY CHECKOUT hosts_file /etc/hosts coredump_dir /var/spool/squid

192.168.100.0/24 - это моя локалка, 192.168.100.125, как уже сказал, адрес контроллера.

[Boboms]

Правильно, зачем это высшему учебному заведению экспериментировать с новейшими проектами распределённых ФС и вообще, интересоваться передним краем computer science (глупость какая для ВУЗ-а, правда?), давайте-ка лучше щёлкнем им по носу чтоб не высовывались, а тупо настроили быдловиндовый быдлоAD и терабайт на файлопомойке.
....
из-за таких как вы, эта страна™ и наука в ней, и находятся в полнейшей заднице, и ещё долго будут там пребывать.

Я разделяю ваши негативные эмоции, очевидно, они связаны с переживаниями по поводу уничтоженной промышленности и системы образования, однако, с моей точки зрения, причина не в этих трёх господах, а в (прочитайте вдумчиво):

Почему же даром потраченное. Все интереснее, чем просто убивать время на работе {!!!!!!!!!} (а примерно такой выбор и есть: либо колдуешь что-нибудь с сервером и сеткой, либо бездумно по инету бродишь {!!!!!!!!!!!!} ).

ЗЫ: ключевое слово - наставник, руководитель и т.п. ....

[arkhnchul]

сквид исходя из конфига висит на порту 3128. Проверяйте файрвол.
"в мануале ничего не сказано" - а вы не только мануал читайте. Или хотя бы не один.

[mieczeslaw]

Я разделяю ваши негативные эмоции, очевидно, они связаны с переживаниями по поводу уничтоженной промышленности и системы образования, однако, с моей точки зрения, причина не в этих трёх господах, а в (прочитайте вдумчиво):

Почему же даром потраченное. Все интереснее, чем просто убивать время на работе {!!!!!!!!!} (а примерно такой выбор и есть: либо колдуешь что-нибудь с сервером и сеткой, либо бездумно по инету бродишь {!!!!!!!!!!!!} ).

ЗЫ: ключевое слово - наставник, руководитель и т.п. ....

Да ладно вам возмущаться раньше времени. В должностные обязанности оператора на полставки не входит домены создавать. А админы рангом повыше у нас, в основном, режут есейфом "неучебные" сайты. Вот и всё. Как говорится, инициатива наказуема.

сквид исходя из конфига висит на порту 3128. Проверяйте файрвол.
"в мануале ничего не сказано" - а вы не только мануал читайте. Или хотя бы не один.

Заработал мой прокси. Хотя готов поклясться, что в пятницу пробовал все варианты настроек, в том числе и 3128й порт. И не по одному разу. Вот только интересно: а где еще в WinXP можно сохранить настройки прокси, чтобы их видели все пользователи и все программы? В реестр уже записал, там сейчас вот так:

Код: Выделить всё

C:\Documents and Settings\TEMP>proxycfg
Инструмент настройки прокси по умолчанию Microsoft (R) WinHTTP
(C) Корпорация Майкрософт. Все права защищены.
Текущие параметры прокси WinHTTP в реестре:
  HKEY_LOCAL_MACHINE\
    SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\
      WinHttpSettings :
    Прокси-сервер:  192.168.100.125:3128
    Список обхода   :  <local>

Разные проги (вроде антивируса) видят, а вот в IE приходится заново прописывать для каждого нового пользователя. На гугле уже побывал. Помогло, но слабо.

[Ленивая Бестолочь]

видели все пользователи и все программы?

используйте групповые политики. прям все программы естественно видеть никак не будут.

[strah]

Хмм, а чем тебя прозрачное проксирование не устраивает? Авторизации по имени пользователя, судя по конфигу, у тебя нету, так что, по моему, прозрачный прокси тебе подошел бы.

[mieczeslaw]

А правда, это мысль. Пока что сделал прокси прозрачным - все равно интернет идет только в локалку. Спасибо!