Гость
Войти | Профиль | Очистить
Действия ...
Форумы / Программирование [игнор отключен] [закрыт для гостей] / синхронизация юзеров и групп АД и МССКЛ / 14 сообщений из 14, страница 1 из 1
05.03.2021, 11:16
    #40051006
andreymx
andreymx
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
Добрый день весны!

есть три таблички в БД
groups(grp_sam_name) > много тысяч записей
user(usr_sam_name) > много тысяч записей
members of groups(grp_sam_name, usr_sam_name) > много много тысяч записей

как их поддерживать в актуальном состоянии?
гонять два/три раза в день селекты вида SELECT FROM OpenQuery (ADSI, ' кажется не совсем хорошей идеей

какие-то есть другие механизмы?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.03.2021, 14:28
    #40051076
Dimitry Sibiryakov
Dimitry Sibiryakov
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
Грохнуть три таблички, перейти на Windows Authentication.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.03.2021, 14:43
    #40051083
andreymx
andreymx
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
Dimitry Sibiryakov
Грохнуть три таблички, перейти на Windows Authentication.
ок

1. как юзеру показать его доступные 3 приложения из 30000 в меню?
2. сформировать отчет для ИБ и заказчика - кому доступны приложения?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.03.2021, 15:52
    #40051114
mayton
mayton
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
Я так понимаю что речь идет о плановой чистке юзеров. Но мне не кажется очевидным этот механизм.
Наверное нужен какой-то сервисный реквест. Юзер увольняется. Его акк блокируется или удаляются
все сведенья.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.03.2021, 16:50
    #40051125
andreymx
andreymx
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
mayton
Я так понимаю что речь идет о плановой чистке юзеров. Но мне не кажется очевидным этот механизм.
Наверное нужен какой-то сервисный реквест. Юзер увольняется. Его акк блокируется или удаляются
все сведенья.
так и есть
уволенный или заблоченный просто не войдёт в систему
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.03.2021, 18:22
    #40051155
mayton
mayton
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
А когда юзер блокируется в AD, что в этот момент видит База? Приходит ли какой-то update?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.03.2021, 19:20
    #40051174
andreymx
andreymx
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
mayton
А когда юзер блокируется в AD, что в этот момент видит База? Приходит ли какой-то update?
автоматом нет
Но он блокируется в АД
И в систему войти не может
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.03.2021, 20:05
    #40051191
Basil A. Sidorov
Basil A. Sidorov
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
Вхожу в систему под другим (активным) логином.
Могу войти в базу под логином, который уже заблокирован в AD?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.03.2021, 21:06
    #40051210
andreymx
andreymx
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
Basil A. Sidorov
Вхожу в систему под другим (активным) логином.
Могу войти в базу под логином, который уже заблокирован в AD?
в бд вообще никто не входит
Только gmsa
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.03.2021, 21:30
    #40051215
Basil A. Sidorov
Basil A. Sidorov
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
А как этот самый gmsa узнаёт, какой пользователь к нему подключается?

P.S.
Почему клещами-то надо тянуть не вполне очевидную для "посторонних" информацию???
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
05.03.2021, 21:33
    #40051216
mayton
mayton
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
andreymx
mayton
А когда юзер блокируется в AD, что в этот момент видит База? Приходит ли какой-то update?
автоматом нет
Но он блокируется в АД
И в систему войти не может

Насколько я помню AD совместим с LDAP. Тоесть ты можешь написать запрос на заблоченных. Типа
Код: sql
1.
ldapsearch ...


Получить их имена или какие-то уникальные идентификаторы. И дальше - дело техники, сджойнить эту
информацию с базой. И сделать delete.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
06.03.2021, 19:46
    #40051332
Dimitry Sibiryakov
Dimitry Sibiryakov
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
andreymx
1. как юзеру показать его доступные 3 приложения из 30000 в меню?

На каждое приложение в AD заводится группа и далее вопрос сводится к "в какие из 30000 групп входит данный пользователь".

andreymx
2. сформировать отчет для ИБ и заказчика - кому доступны приложения?

См. выше. Тривиальное перечисление членов соответствующих групп.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.03.2021, 06:28
    #40051385
Basil A. Sidorov
Basil A. Sidorov
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
Dimitry Sibiryakov
На каждое приложение в AD заводится группа и далее вопрос сводится к "в какие из 30000 групп входит данный пользователь".
Управлять поведением приложение через AD - так себе идея.
Раздать права на файловую систему, RDP, выход в тыртырнет - это всё сисадминские задачи.
Менюшки приложения - уже нет и у меня есть обоснованные сомнения в качестве интреграции приложения в AD.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.03.2021, 08:32
    #40051388
Критик
Критик
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
синхронизация юзеров и групп АД и МССКЛ
У меня было 4 тыс логинов на сервере (набабахали за несколько лет).
Потом мы постепенно переехали на ад-аутентификацию для новых пользователей.
Чтобы удалять мусор - загружал ежедневно пользователей из ад. У загруженных записей был признак блокировки.
Для тех, кто блокирован в ад, ставил disable на сервере.
Удалял руками из базы раз в месяц руками. Жалоб (мол, потерял доступ) не было.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Программирование [игнор отключен] [закрыт для гостей] / синхронизация юзеров и групп АД и МССКЛ / 14 сообщений из 14, страница 1 из 1
Целевая тема:
Создать новую тему:
Автор:
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
созд. / загр.: 143ms
Закрыть
start [/forum/topic.php?fid=16&tablet=1&tid=1339684]:
 0ms
get settings:
 10ms
get forum list:
 13ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 46ms
get topic data:
 8ms
get forum data:
 2ms
get page messages:
 45ms
get tp. blocked users:
 1ms
others: 12ms
total:  143ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]