У самого стоит подобная задача, после беглого чтения статьи, да и вообще изучения темы на просторах инета сразу возникает вопрос: зачем собирать из сырцов (тут хоть деб пакеты через чекинсталл сделаны), если в репах есть готовые пакеты, которые считаются стабильными для текущей версии ОС? Плюс не понятен момент с апачем, который работает от астериска…
Оперативно, я и не ожидал такого скорого ответа :)
У меня сейчас стоит задача интегрировать Zimbra, OpenFIre и Asterisk. Так что Ваша статья очень даже интересна мне. Можно будет с Вами проконсультировать, если вдруг у меня возникнут вопросы?
Предположим, что вы раз в минуту получаете информацию об 11 параметрах каждого порта 50-ти 24-портовых свитчей.
Именно для таких целей и придумали snmp-трапы. Вот если скорость/ошибки и т.п. то их нужно мониторить регулярно, а вот состояние интерфейса (up/down), или другие показатели, которые имеют малую динамику — лучше всего не дергать каждый раз, а что бы сама железка слала трапы заббиксу при изменениях, а он уже реагировал на них.
>>В итоге, при средней работе 8-10 часов в сутки мы начинаем получать PROFIT через 4 — 6 месяцев. К тому времени лампа накаливания уже отработает свой срок в 1000 часов.
А у меня лампы накаливания годами работают, правда не по 8-10 часов, а на треть меньше, что я делаю не так?
set system authentication-order tacplus
set system tacplus-server 10.10.10.1 secret «key»
set system tacplus-server 10.10.10.1 source-address 192.168.1.1
set system accounting events login
set system accounting events change-log
set system accounting events interactive-commands
set system accounting destination tacplus
set system login user REMOTE_SU full-name «Tacacs+ template for remote SU access»
set system login user REMOTE_SU class super-user
Далее в Shell Profiles создаем профиль JuniperFullAccess в Custom Attributes которого создаем атрибут с именем local-user-name и значением — имя шаблона профиля пользователя (в моем примере — REMOTE_SU).
Теперь идем в Access Policies и в меню Authorization создаем соответствующее правило, согласно которого всем авторизовавшимся на девайсах Juniper применяется соответствующий Shell Profile.
А вообще, по неофициальным данным, цена должна получится одинаковая, или даже чуть-чуть дешевле
Собственно это и хотелось услышать… Мы дети не маленькие, и сами понимаем что реальную цену может дать только наш непосредственный поставщик.
Просто меня (да и думаю многих других читателей) немного напрягает тот момент, что в таких обзорных статьях не указывают хоть приблизительный порядок цен. За каждым же интересом не будешь дергать поставщика что бы он спеки считал, а так сказали: цена на уровне «самосборного» решение и половина народу сразу успокоилась, т.к. в статье есть инфа о используемом железе и ориентировочные цены на него если уж и не известны читателям, то по крайней мере могут быть найдены в Сети.
Да ну его тот проект, просто интересует на сколько такое комплексное решение дороже стоит в процентном соотношении по сравнению если самому собрать ту-же инфраструктуру?
Просто если оно стоит дороже — вряд-ли оно найдет широкое применение в наших краях. Если цена сравнима, или того лучше — чуть-чуть ниже, успех его вероятен.
Ну все-же… Если не углубляться в конкретные цифры, насколько подобное решение с шильдиком на шкафу FlexPod будет стоить дороже «самосборного» решения на основе тех-же составляющих?
Ну или вообще, дали бы пример бюджетного решения (без проектных скидок) для малого предприятия для запуска, к примеру, 50 VM с 1Gb памяти 1 одним процессором (как правило схема следующая: 2(3) сервера + 2 коммутатора + 1 двухконтролерная схд + шкаф, квм и т.д)
Ну и собственно что касается высказываний касательно малых предприятий: все-же стоит делать поправку на то, что мы не США, и у нас предприятие с численностью даже 100 человек считается не таким уж и малым (я не говорю про громкие цифры 1-1,5к человек).
Прошу прощения, вопрос можно считать снятым. Дело в том, что есть стандартное правило, согласно которого если не одно из сконфигурированных правил не подходит Shell Profile был Permit Access, а вот Command Sets — Denny all Commands.
Соответственно в Shell Profile выбираем DenyAccess и проблема решена.
Думаю стоит уточнить это в статье, т.к. еще кто-то может наступить на эти грабли.
Дошли руки собрать лабу.
Все «ок», за исключением того, что все пользователи из АД могут залогиниться на устройства с уровнем привилегий 1. И только пользователи из указанной группы имеют уровень привилегий 15. Нашел документ на циско.ком аналогичный этому топику — в нем все шаги совпадают.
Я что-то сделал не так, или нужно как-то ограничивать возможность логиниться на устройства пользователей, которые не состоят в «интересных» группах?
Оказывается, по умолчанию, в AD каждый пользователь может вводить в домен компьютеры.
Насколько я помню — там есть ограничение на количество введенных в домен ПК одним пользователем (4, если ошибаюсь — поправьте).
Что касается сабжа — курсы это хорошо, но к сожалению цены практически неподъемны для рядового админа из провинции (не говоря уже о том, что надо ехать в столицу на неделю что бы там их пройти). Другое дело когда их оплачивает работодатель. Но опять же таких работодателей в провинции очень мало.
Меня смущает один момент:
паспорта будут платные или нет? а то это ж не напасешься каждые 10 лет менять паспорт гражданина страны на новый (с заграном ничего не меняется, он и так на 10 лет выдается)
Я ниже уже писал… Ничего, со временем пройдет спортивный интерес… и придет профессиональный. Когда у тебя сотни серверов, тысячи пользователей и десятки коллег и бешенные требования к стабильности — то интерес писать и отлаживать скрипты, вместо того что бы тыкнуть 2 раза мышью быстро отпадает.
Собственно для каждого случая, есть свое правильное решение. Если сеть небольшая + бюджет невелик, да еще и админ смышленый — есть смысл возиться с самбой, скриптами, ставить сквид для ограничения неугодных сайтов, фильтровать спам на постфиксе/эксиме спамассасином и т.д. и т.п.
И АД — эт был просто яркий пример, не все упирается только в него. Есть еще куча других сервисов.
ЗЫ Я не агитирую за Win, у меня у самого на декстопе линукс… Просто нужно трезво оценивать ситуацию, и применять нужные ОС и софт в нужном месте — без фанатизма.
Страдал аналогичным фанатизмам как и автор топика. С годами/опытом прошло, т.к. пришло понимание, что удобнее то, что проще в инсталяции/сопровождении, имеет более качественную поддержку и количество спецов на рынке. И практически не важно сколько стоит эта система, $1k или $100k. Естественно речь идет не о фирме «Рога и Копыта», где каждый лишний бакс на вес золота. Хотя тут тоже вопрос спорный. Все зависит от наличия понимающего руководства и/или спеца, который может донести до руководства «правильные» мысли.
У меня сейчас стоит задача интегрировать Zimbra, OpenFIre и Asterisk. Так что Ваша статья очень даже интересна мне. Можно будет с Вами проконсультировать, если вдруг у меня возникнут вопросы?
А что если в качестве DB используется встроенная база OpenFire?
Именно для таких целей и придумали snmp-трапы. Вот если скорость/ошибки и т.п. то их нужно мониторить регулярно, а вот состояние интерфейса (up/down), или другие показатели, которые имеют малую динамику — лучше всего не дергать каждый раз, а что бы сама железка слала трапы заббиксу при изменениях, а он уже реагировал на них.
А у меня лампы накаливания годами работают, правда не по 8-10 часов, а на треть меньше, что я делаю не так?
set system authentication-order tacplus
set system tacplus-server 10.10.10.1 secret «key»
set system tacplus-server 10.10.10.1 source-address 192.168.1.1
set system accounting events login
set system accounting events change-log
set system accounting events interactive-commands
set system accounting destination tacplus
set system login user REMOTE_SU full-name «Tacacs+ template for remote SU access»
set system login user REMOTE_SU class super-user
Далее в Shell Profiles создаем профиль JuniperFullAccess в Custom Attributes которого создаем атрибут с именем local-user-name и значением — имя шаблона профиля пользователя (в моем примере — REMOTE_SU).
Теперь идем в Access Policies и в меню Authorization создаем соответствующее правило, согласно которого всем авторизовавшимся на девайсах Juniper применяется соответствующий Shell Profile.
Собственно это и хотелось услышать… Мы дети не маленькие, и сами понимаем что реальную цену может дать только наш непосредственный поставщик.
Просто меня (да и думаю многих других читателей) немного напрягает тот момент, что в таких обзорных статьях не указывают хоть приблизительный порядок цен. За каждым же интересом не будешь дергать поставщика что бы он спеки считал, а так сказали: цена на уровне «самосборного» решение и половина народу сразу успокоилась, т.к. в статье есть инфа о используемом железе и ориентировочные цены на него если уж и не известны читателям, то по крайней мере могут быть найдены в Сети.
Просто если оно стоит дороже — вряд-ли оно найдет широкое применение в наших краях. Если цена сравнима, или того лучше — чуть-чуть ниже, успех его вероятен.
Ну или вообще, дали бы пример бюджетного решения (без проектных скидок) для малого предприятия для запуска, к примеру, 50 VM с 1Gb памяти 1 одним процессором (как правило схема следующая: 2(3) сервера + 2 коммутатора + 1 двухконтролерная схд + шкаф, квм и т.д)
Ну и собственно что касается высказываний касательно малых предприятий: все-же стоит делать поправку на то, что мы не США, и у нас предприятие с численностью даже 100 человек считается не таким уж и малым (я не говорю про громкие цифры 1-1,5к человек).
Соответственно в Shell Profile выбираем DenyAccess и проблема решена.
Думаю стоит уточнить это в статье, т.к. еще кто-то может наступить на эти грабли.
Все «ок», за исключением того, что все пользователи из АД могут залогиниться на устройства с уровнем привилегий 1. И только пользователи из указанной группы имеют уровень привилегий 15. Нашел документ на циско.ком аналогичный этому топику — в нем все шаги совпадают.
Я что-то сделал не так, или нужно как-то ограничивать возможность логиниться на устройства пользователей, которые не состоят в «интересных» группах?
Для тех кто строит сеть, пусть даже малую и бюджетную, на НетГирах этот топик можно и не читать.
Еще хотелось бы увидеть продолжение, в котором бы описывался принцип настройки Downloadable ACLs
Насколько я помню — там есть ограничение на количество введенных в домен ПК одним пользователем (4, если ошибаюсь — поправьте).
Что касается сабжа — курсы это хорошо, но к сожалению цены практически неподъемны для рядового админа из провинции (не говоря уже о том, что надо ехать в столицу на неделю что бы там их пройти). Другое дело когда их оплачивает работодатель. Но опять же таких работодателей в провинции очень мало.
паспорта будут платные или нет? а то это ж не напасешься каждые 10 лет менять паспорт гражданина страны на новый (с заграном ничего не меняется, он и так на 10 лет выдается)
Собственно для каждого случая, есть свое правильное решение. Если сеть небольшая + бюджет невелик, да еще и админ смышленый — есть смысл возиться с самбой, скриптами, ставить сквид для ограничения неугодных сайтов, фильтровать спам на постфиксе/эксиме спамассасином и т.д. и т.п.
И АД — эт был просто яркий пример, не все упирается только в него. Есть еще куча других сервисов.
ЗЫ Я не агитирую за Win, у меня у самого на декстопе линукс… Просто нужно трезво оценивать ситуацию, и применять нужные ОС и софт в нужном месте — без фанатизма.
Страдал аналогичным фанатизмам как и автор топика. С годами/опытом прошло, т.к. пришло понимание, что удобнее то, что проще в инсталяции/сопровождении, имеет более качественную поддержку и количество спецов на рынке. И практически не важно сколько стоит эта система, $1k или $100k. Естественно речь идет не о фирме «Рога и Копыта», где каждый лишний бакс на вес золота. Хотя тут тоже вопрос спорный. Все зависит от наличия понимающего руководства и/или спеца, который может донести до руководства «правильные» мысли.