Комментарии 17
RADIUS в домене ставится, если требуется авторизовать членов домена при соединении извне, и требует именно доменного админа, а не сетевого, сетевому в этом случае отдается от него shared secret для плагина на стороне сетевого оборудования или ПО, которое аутентифицирует пользователей через RADIUS. И всё.
По поводу сетевого шлюза — как по мне, настраивать должен тот же человек, который отвечает за доступ между vlan'ами, и если это сетевик, то его работа, если он "типа" админ гипервизора, то его. Но это если есть отдельно админ для тех же гиперов, по факту здесь роли становятся довольно узкими и требуют тесного взаимодействия между собой, иначе просто всё "не заработает". Но если проблема появилась где-то здесь — хреновый руководитель в той айти.
при соединении извне
Шо? А как же 802.11x на проводах и перекидывание пользователя в нужный vlan после подключения?
Ну дык, для 802.11х "извне" это всё, что не защищенная сеть. Пусть даже это провода внутри офиса и потенциальный NPS в сети.
А вообще, я не такой крутой, чтобы поднимать NPS хоть где-нибудь, упустил применение.
Я вообще не видел, чтобы радиус использовался для чего-то другого в реальной жизни, а не в документации -)
Ну может как система авторизации в сетевых железках в систему ещё, но будем честны.
Ну, я его использовал как сервис авторизации пользователей домена на отдельно стоящем linux-сервере, работающем как VPN-сервер плюс роутер плюс реверс-прокси плюс site-to-site VPN bridgehead или как там оно правильно называется, т.е. функционал нарастал, а сервер был один и никому не было нужно его настраивать. Поэтому когда в процессе поиска аутентификаторов домена для xl2tpd/pppd я наткнулся на решение с RADIUS, которое к тому же, пусть и кастомно, позволило сделать пользователя вне домена с доступом, я его и запилил.
У меня проприаритарный Radius для мак-авторизации пользователей внутри сети и раскидывания их по vlan. У нас не AD, ла и нет в этом необходимости.
Я в одного тяну сеть на более 2 тысячи устройств, а при наличии 7 эникейщиков ещё и сетевые принтеры подключаю потому что они "сетевые". Эникеи у нас очень ленивые и не хотят обучаться, но каждый раз когда заходит вопрос о распределении обязанностей начинают ныть, что я им пароли от серваков не выдал... А о чём говорить с существом, которое не знает для чего нужен Radius и dhcp и как это работает. Которые с легкостью создают петлю вставляя пачкорд между 2х розеток и потом ноют, что бы я заблокированные этим действием порты разблокировал. Я очень доволен, что интегратор нам очень хорошие и дорогие коммутаторы поставил, которые справляются с нагрузкой и распиздяйством, разве что кроме прикола электриков пустивших в розетке фазу на земляной контакт - у компа выгорел блок питания, а заодно и PoE у коммутатора (huawei s5700).
Все что написано, это конечно правильно и замечательно. Но, к сожалению, в реальной жизни все не так. Обычно сетевого инженера выделяют отдельно в очень больших сетях или в средних/крупных провайдерах. Проблема первых, что их мало и туда тяжело попасть, проблема вторых - они вымирают и скоро останется только самые крупные. Причем у оставшихся средних провайдеров сеть сделана из говна и палок и ее очень тяжело морально обслуживать.
По своему опыту скажу, что СИ более-менее комфортно сейчас в интеграции, но и там уже заметен уклон в сторону "сетевики не нужны, давайте возьмем супер-убер-крутую систему и разраба под нее".
Поэтому, если хочешь уйти в айти, идешь на какой-нить курс "Пайтон за 30 дней" и становишься разрабом... Я бы сделал так, если бы начинал щас, а не 15 лет назад...
Я хожу по собеседованиям и в большинстве случаев слышу "мы тут оптимизировали и поувольняли сисадминов, инженеров и т. д., а теперь нам нуден DevOps на разгребание говна". И это говорят почти все и небольшие зостеры и конторы вроде "Почты РФ"...
А как считаете, если вместо Пайтона попытаться за 30 дней JS освоить (SQL уже на джуна, думаю, знаю) - эта идея хуже? Потому что JS мне кажется ближе (пока не пробовал ни к чему приступать, и хочется больше уверенности).
Тут я вам не подскажу, т.к. я еще пока сетевой инженер. "Пайтон за 30 дней" - это обобщение того что я читал про людей которые ушли в "айти" (в разрабы). Щас кто туда только не уходит :)
Лично мне особой разницы нет какой язык изучать, т.к. есть опыт написания скриптов или небольших проектов примерно на 7 языках и там уже включается интуиция. Правда Си-подобные языки типа (Perl, PHP и т.п. ) даются как-то проще :)
Бегло ознакомившись с вакансиями сетевых инженеров и сисадминов, вакансий сетевика меньше встречается, но у них зарплата чуть больше, чем у сисадминов.
У системного администратора могут быть «объекты личного внимания»
Поднятый иЛО на vmware хосте решает большинство проблем.
От скуки даже биосы, контроллеры и весь набор, что льется через SPP, обновляю (:
А для ведер приниси-подай-поставь_кудахтер и почиму-телефон-ни-работаит должен быть шнырь курьер, который человек- любая-клавиша, чтобы нормально заниматься Л2 и Л3.
З.Ы. логистика. 500+ человек. 10+ офисов по всей еврожоне. 2 админа (один из которых эникей, который получает больше другого админа (нетрудно догадаться какого)). Г - приоритеты.
HP iLO aka Integrated Lights-Out, система управления физическим хостом через контроллер на матплате с широким спектром возможностей, включая подключение загрузочного носителя через Ethernet, обновление прошивок периферии, управление питанием, мониторинг, удаленную консоль через веб. Часть фишек лицензируется за отдельные деньги.
Первая большая проблема - вырастая из маленькой компании в большую, топология сети остается от маленькой компании. Типа, опубликованные в нет веб ресурсы внутри периметра сети, про dmz не слышали и.т.д. И всё это перестроить и развести, это адский трешь. Скрипт на скрипте и скриптом погоняет, меняешь ip сервака и что-то где-то отваливается.
И вторая - за последние 15 лет актуальную документацию по сети, сервисам, сервам я в компаниях не встречал. Валяются на серверах в разнобой файлы, где каляки маляки не структурированные накидынные разными людьми в разное время. Но всё это старо, как говно мамонта и на 70 % уже не актуально. И разгребать приходится по полгода, описывать, документировать и разбираться - времени отнимает вагон , но результат того стоит.
Так что жизнь совсем не малина у сетевого админа -)
Сетевой администратор в «не IT-компании»