Мне кажется realmd ощутимо проще (он делает всё вот это вот), да и можно работать автономно без доступа к кд разок залогинившись. Буквально realm join domain.com и всё, остаётся по вкусу разрешить ssh/sudo ну и накидать немношк в sssd.conf как будет выглядеть логин и создаваться домашние папки
Девайсина прикольная (емнип только usb там не скоростные, под капотом линукс-сервер). Мне вот глянулось софтовое решение, usb virtual here, недорого и вкусно.
А вот процессы - капец, как уже отметили выше. Токен - это решения для мультифакторки, который символизирует фактор обладания. Подобными решениями этот фактор убивается. Не говоря про риски - потому что да, это прям должно отпечататься в голове, в том числе у бизнеса и бэкофиса, что токены с эцп, особенно с каким-нить УКЭП - это тоже самое, что синяя печать и реальная подпись. И по-хорошему токен должен быть личный, у каждого кому нужно право подписи. Если копеечки жалко всем по токену - то хотя бы в сейф под наблюдение, ну и удалённому буху все ж выдать (и обмазать СЗИ).
Были случаи, когда эцп фигачили в криптоконтейнер «в реестре» чтоб не морочится, или делали общий комп с постоянно воткнутыми токенами.. компы троянились, платёжки подписывались, бабки улетали.
меньше стало, но вероятно в пределах погрешности (знаю несколько контор, что переехало на "альтернативно-лицензированную" или "вечнотриальную" жиру не в связи с уходом из России и санкциями). но есть и такие, которые "ну ладно, придёццо плотить, што делоть", так что денежки они себе тоже подняли.
..на самом деле, в случае атласа больше абыдно за небольшие конторы, которым нужна онпрем версия. капитализм капитализмом, но на тридцать человек не охота брать конфлю на 500 рыл.
жира-сервер всё. для онпрем - датасентер, от 500 пользователей, за скромные 42 килобакса по подписке [что кстати дешевле решения представленного в статье].
возвращается.. а ему не рады. например, я трижды подумаю если циска вернётся - рассматривать ли её решения (требующие смарт-лицензий, да и вообще) при проектировании архитектуры.
спорное. атлассиан вот похоронили лайфтаймы и словили мешок ненависти :) другой отечественный вендор, что прочно стоит на рынке импортозамещения наоборот, планирует убрать подписочную модель (не пользуется спросом), оставив лайфтайм + саппорт\обновы. в тоже время менеджеры многие любят опекс вместо капекса. ну или любили, до тех пор, когда опексное не превратилось в тыкву. в любом случае лучше когда есть выбор ;)
Прикольное, удачи вам в начинаниях. жаль прайс пока выглядит довольно кусачим.. и после финта ушами атлассиана очень хочется видеть лайфтайм-лицензию, с платным саппортом\обновлениями по вкусу
Частая история для рейда-5, поэтому не надо его использовать нигде (ну, для бэкапов бэкапов пойдёт). Там при вылете диска начинается лютобешено вычитываться остальные (считаются хэши), как при ребилде.. 6 в этом плане более щадящий, хоть и требует повеселее контроллер…
не, такое практикую разве что по серту (на комп) и с лимитированным доступом. на полноценный впн осознанно запрос пароля + второго фактора, безопасность должна быть безопасной:)
как будто вводить руками пароль это что-то плохое :D мне чем нравится отдавать pbk - это просто файл забрали, двойным кликом запустили, подключились, также отключились. а с CMAK-ом было весело когда были популярны х86 десктопы. приходилось делать два CMAK-а, и опять же запихивать в автоустановщик с выбором разрядности системы.
сейчас практикую больше впн-ы без клиентских настроек-конфигов-прочих подпрыгиваний, вроде any\open connect
альтернативно - можно закинуть rasphone.pbk с сертификатом (можно зашить в бинарь, можно sfx собрать..), ну или воспользоваться инструментом CMAK, тогда можно и кастомизировать окно подключения (например добавить телефон техподдержки). так же как и при создании пошиком, удобно сразу добавить маршруты для реализации split-tunnel, только ЕМНИП пошиком докидывание маршрутов работает начиная с вин10
да, альтернативой тогда был радмин и деймварь альтернативно-лицензированные, работали весело и вкусно, но мы всё ж ударяли по пиратству опенсорцом и поделками:) в рамках локалки vnc работал пристойно, а вот по хреновому *dsl была немношк боль
Когда уже есть какое-то количество условно бесплатные сервисы начинали блочить
нуу, тим с патчами тоже имел место быть (или простой сброс id путём установки tap-интерфейса), но это уже было позжее:)
Бэкап с одного микротика даже на аналогичную модель лучше не разворачивать, не говоря про разные:) только через експорт конфиг и вдумчивый импорт, при этом при импорте надо полностью удалить конфу (reset - no default). При должной сноровке импорт можно делать менее вдумчиво и сразу применять при сбросе :)
Было время, когда яндекс списывал бабки при заказе, потом доначислял немношк:) последнее время списывает по завершении поездки, и да - сумма отличалась, иногда даже в меньшую сторону. Точно было несколько раз за последний год
Мне кажется стоимость поездки всегда была условно-ориентировочной. По пути можно внезапно постоять в пробке, можно попросить поехать другим маршрутом, заехать за тортом и т.п :) вроде как раньше итоговая стоимость отличалась от заявленной чаще (развитие алгоритмов!). И не помню, может это был убер когда он был убером - было два варианта стоимости, фикс и «по счётчику»..
Да, оно красивое на бумажке, но требует осмысления, доработки и изменений. Тот же imap можно объявить легаси и похоронить в пользу вебинтерфейса условной зимбры. Или прикрутить к нему mtls (так же закрыть на серт клиентский)..
Если винда - с adfs тож не особо сложно. Больше проблем с сервисами, что или заводят для галочки поддержку, или начинают считать что это суперентерпрайзно и хотеть множество деняк:)
Подумайте над имплементацией в том или ином формате подхода zero trust security. Условно нам не важно, где комп - в локалке (в впн) или дома, мы одинаково защищаем сервисы. Оно хорошо ложится на byod-подход и в целом не особо затратно можно сделать без накручивания conditional access и client posture/profiling.
Как вариант имплементации (не факт что подойдёт вам, чисто вариант концепта) сервисы вывешиваем на внешний адрес, но помимо аутентификации и авторизации через ldap крутим mfa, и проверяем наличие клиентского сертификата выданного внутренним СА. Сертификатом спасаемся от всяких zero-day, mfa - на случай если и учётка и серт утекут (например стырили ноут, а он нешифрован и пароль на рабочем столе). Можно использовать и совместно с впн, например mfa запрашивать только при внешнем подключении (тут понадобится опять же сплит/дмз, но по крайней мере часть сотрудников не будет страдать от mfa). Mfa хорошо крутить с sso вроде самл/oauth (в один сервис зашёл, в другие в период n часов влетаешь без запросов).
Мне кажется realmd ощутимо проще (он делает всё вот это вот), да и можно работать автономно без доступа к кд разок залогинившись. Буквально realm join domain.com и всё, остаётся по вкусу разрешить ssh/sudo ну и накидать немношк в sssd.conf как будет выглядеть логин и создаваться домашние папки
Девайсина прикольная (емнип только usb там не скоростные, под капотом линукс-сервер). Мне вот глянулось софтовое решение, usb virtual here, недорого и вкусно.
А вот процессы - капец, как уже отметили выше. Токен - это решения для мультифакторки, который символизирует фактор обладания. Подобными решениями этот фактор убивается. Не говоря про риски - потому что да, это прям должно отпечататься в голове, в том числе у бизнеса и бэкофиса, что токены с эцп, особенно с каким-нить УКЭП - это тоже самое, что синяя печать и реальная подпись. И по-хорошему токен должен быть личный, у каждого кому нужно право подписи. Если копеечки жалко всем по токену - то хотя бы в сейф под наблюдение, ну и удалённому буху все ж выдать (и обмазать СЗИ).
Были случаи, когда эцп фигачили в криптоконтейнер «в реестре» чтоб не морочится, или делали общий комп с постоянно воткнутыми токенами.. компы троянились, платёжки подписывались, бабки улетали.
меньше стало, но вероятно в пределах погрешности (знаю несколько контор, что переехало на "альтернативно-лицензированную" или "вечнотриальную" жиру не в связи с уходом из России и санкциями). но есть и такие, которые "ну ладно, придёццо плотить, што делоть", так что денежки они себе тоже подняли.
..на самом деле, в случае атласа больше абыдно за небольшие конторы, которым нужна онпрем версия. капитализм капитализмом, но на тридцать человек не охота брать конфлю на 500 рыл.
жира-сервер всё. для онпрем - датасентер, от 500 пользователей, за скромные 42 килобакса по подписке [что кстати дешевле решения представленного в статье].
возвращается.. а ему не рады. например, я трижды подумаю если циска вернётся - рассматривать ли её решения (требующие смарт-лицензий, да и вообще) при проектировании архитектуры.
стильно, олдскульно:)) зачем менять опенсорс на иглу от вендора? полушутка, конечно. и да, олдскулы мне свело в болевом спазме:)
спорное. атлассиан вот похоронили лайфтаймы и словили мешок ненависти :) другой отечественный вендор, что прочно стоит на рынке импортозамещения наоборот, планирует убрать подписочную модель (не пользуется спросом), оставив лайфтайм + саппорт\обновы. в тоже время менеджеры многие любят опекс вместо капекса. ну или любили, до тех пор, когда опексное не превратилось в тыкву. в любом случае лучше когда есть выбор ;)
Прикольное, удачи вам в начинаниях. жаль прайс пока выглядит довольно кусачим.. и после финта ушами атлассиана очень хочется видеть лайфтайм-лицензию, с платным саппортом\обновлениями по вкусу
Частая история для рейда-5, поэтому не надо его использовать нигде (ну, для бэкапов бэкапов пойдёт). Там при вылете диска начинается лютобешено вычитываться остальные (считаются хэши), как при ребилде.. 6 в этом плане более щадящий, хоть и требует повеселее контроллер…
не, такое практикую разве что по серту (на комп) и с лимитированным доступом. на полноценный впн осознанно запрос пароля + второго фактора, безопасность должна быть безопасной:)
как будто вводить руками пароль это что-то плохое :D мне чем нравится отдавать pbk - это просто файл забрали, двойным кликом запустили, подключились, также отключились. а с CMAK-ом было весело когда были популярны х86 десктопы. приходилось делать два CMAK-а, и опять же запихивать в автоустановщик с выбором разрядности системы.
сейчас практикую больше впн-ы без клиентских настроек-конфигов-прочих подпрыгиваний, вроде any\open connect
альтернативно - можно закинуть rasphone.pbk с сертификатом (можно зашить в бинарь, можно sfx собрать..), ну или воспользоваться инструментом CMAK, тогда можно и кастомизировать окно подключения (например добавить телефон техподдержки). так же как и при создании пошиком, удобно сразу добавить маршруты для реализации split-tunnel, только ЕМНИП пошиком докидывание маршрутов работает начиная с вин10
да, альтернативой тогда был радмин и деймварь альтернативно-лицензированные, работали весело и вкусно, но мы всё ж ударяли по пиратству опенсорцом и поделками:) в рамках локалки vnc работал пристойно, а вот по хреновому *dsl была немношк боль
нуу, тим с патчами тоже имел место быть (или простой сброс id путём установки tap-интерфейса), но это уже было позжее:)
О да. Автоит, uvnc.. я только ещё туда закидывал plink для ssh-туннеля:)
К счастью в 2к22 есть растдеск и другие альтернативы, внц уж очень туговат.
Бэкап с одного микротика даже на аналогичную модель лучше не разворачивать, не говоря про разные:) только через експорт конфиг и вдумчивый импорт, при этом при импорте надо полностью удалить конфу (reset - no default). При должной сноровке импорт можно делать менее вдумчиво и сразу применять при сбросе :)
Грац с обновкой, вяловяло смотрю на hap ax3 :)
Я просто оставлю это тут https://github.com/lithnet/ad-password-protection (проверка по словарям с нормализацией, расширенное управление политиками сложности и т.п). Годное
Было время, когда яндекс списывал бабки при заказе, потом доначислял немношк:) последнее время списывает по завершении поездки, и да - сумма отличалась, иногда даже в меньшую сторону. Точно было несколько раз за последний год
Мне кажется стоимость поездки всегда была условно-ориентировочной. По пути можно внезапно постоять в пробке, можно попросить поехать другим маршрутом, заехать за тортом и т.п :) вроде как раньше итоговая стоимость отличалась от заявленной чаще (развитие алгоритмов!). И не помню, может это был убер когда он был убером - было два варианта стоимости, фикс и «по счётчику»..
Да, оно красивое на бумажке, но требует осмысления, доработки и изменений. Тот же imap можно объявить легаси и похоронить в пользу вебинтерфейса условной зимбры. Или прикрутить к нему mtls (так же закрыть на серт клиентский)..
Если винда - с adfs тож не особо сложно. Больше проблем с сервисами, что или заводят для галочки поддержку, или начинают считать что это суперентерпрайзно и хотеть множество деняк:)
Подумайте над имплементацией в том или ином формате подхода zero trust security. Условно нам не важно, где комп - в локалке (в впн) или дома, мы одинаково защищаем сервисы. Оно хорошо ложится на byod-подход и в целом не особо затратно можно сделать без накручивания conditional access и client posture/profiling.
Как вариант имплементации (не факт что подойдёт вам, чисто вариант концепта) сервисы вывешиваем на внешний адрес, но помимо аутентификации и авторизации через ldap крутим mfa, и проверяем наличие клиентского сертификата выданного внутренним СА. Сертификатом спасаемся от всяких zero-day, mfa - на случай если и учётка и серт утекут (например стырили ноут, а он нешифрован и пароль на рабочем столе). Можно использовать и совместно с впн, например mfa запрашивать только при внешнем подключении (тут понадобится опять же сплит/дмз, но по крайней мере часть сотрудников не будет страдать от mfa). Mfa хорошо крутить с sso вроде самл/oauth (в один сервис зашёл, в другие в период n часов влетаешь без запросов).