И:Инвентаризация

Социализм Системное администрирование - это строжайший учет и контроль Как это ни странно звучит, техника себя не посчитает и не учтет (на самом деле нет). Конечно, есть бухучет "чего у нас есть вообще", но для рабочих задач известная желтая программа подходит почти никак. Наиболее часто случается необходимость учета следующих сущностей: - Адресное пространство (управление адресным пространством, IPAM) и автоматизация управления им. - Учет материальных ценностей (что и где) - Учет паролей, особенно если их много, а часть из них имеет срок действия (сертификатов это тоже касается) - Учет текущего состояния, или собственно мониторинг и оповещение. 1. Учет адресов и материальных ценностей. На самом простом уровне, для управления пользовательским сегментом вполне хватает DHCP, без осложнений вида 802.1x (EAP) или уже забытого NAP (NAP was deprecated in Windows Server 2012 R2 and removed from Windows Server 2016.) Для учета 5 физических серверов при одном администраторе вполне хватает таблицы в Excel. Как только у нас возникает многоходовочка вида "есть сервер в стойке, подключен в два коммутатора, на нем виртуализация" - этих методов перестает хватать. Схема "что куда подключено" становится сложной, за сети же вообще отвечает другая команда, которая может сидеть в другом здании. Решением является внедрение любого из серверов IPAM. Из всего многообразия продуктов необходимо отметить MS IPAM, а из более-менее живых - GestióIP, Netbox и phpipam. В то же системе ведется и параллельный учет материальных ценностей, хотя бы в виде комментариев "что там внутре", и "что в какой порт какой картой подключено". Минус продуктов: IPAM сам по себе (искаропки) не способен опросить И коммутаторы, И SAN свичи, И все используемое железо, и значит чудесной кнопки "сделать хорошо" нет - наоборот, необходима и первичная инвентаризация, и последующий административный учет, чтобы изменения в системах синхронизировались и с IPAM.

Необходимое уточнение. Современные системы учета вообще способны опрашивать и коммутаторы, и строить карты сетей, на основе CDP, LLDP и прочего CIM и что там в SAN сетях еще есть, однако кто ж неизвестному серверу просто так отдаст LLDP или mac-address-table ? И тем более, как IPAM узнает, как ваши именования серверов соотностятся с площадкой, помещением, стойкой и позицией в стойке? Да, в системах есть некий функционал, но его так просто не всегда удается добыть.

TL\DR. Netbox видел у коллег, говоря нормально "в целом". У меня учет в Excel. 2. Учет паролей. Первой стадией учета является листочек с паролями, в Notepad, Excel или OneNote. Плюс - все наглядно, минус - сложно использовать, если необходимо делегировать часть паролей кому-то. Второй и наиболее удобной стадией является заведение всего, чего только нужно для ежедневной работы, в LDAP, в частности к MS AD. Проблем тут три: 2.1 Слабоумие и отвага Лень и незнание. Граждане не понимают основ информационной безопасности, и работают от доменного администратора на локальной машине. Итог всегда один - сначала уходит этот пароль - потом злые люди получают удаленный доступ к вашей системе (этот этап случается всегда, просто у кого то чуть позже, поскольку сотрудники с такой квалификацией и на такие зарплаты используют вместо современного антивируса - разнообразные антивирусозаместители, например Антивирус Бабушкина, или схожие по функционалу продукты на A, N, и так далее) - затем уходит управление бухгалтерией, и(или) случается дозагрузка майнера-двух на недозагруженные контроллеры и хосты. - Это не рассматривая тот очевидный факт, что с методологией AGDLP мало кто знаком, и уж тем более не знаком с LDAP Troubleshooting, полный неочевидных вещей. 2.2 Не все сервисы поддерживают LDAP. В ряде случаев вы в принципе не можете использовать LDAP, поскольку у вас инфраструктура виртуализирована, а значит вам надо разнести управление хостом (разного рода root, local admin и так далее) от инфраструктуры. В противном случае, вы не сможете (например, при полном отключении электричества) поднять сначала хост, потом на нем VM с AD DC. 2.3 Делегирование и безопасность. Для ряда служебных учетных записей пароль необходимо передавать, причем если сервисов много, то и пароль надо передавать достаточно часто, синхронизировать и так далее. Конечно, можно внедрить RMS в расшаренный и зашифрованный документ Excel, но для RMS неплохо бы иметь Active Directory Certificate Services, и это не такая простая задача для начинающих. Точнее, сам AD CS ставится как далее-далее-готово, но, как говорил Василий Иванович - есть нюанс. И да, с появление Let's encrypt это актуально для тех, у кого нет 35$. Еще раз для тех, кто не понял: любая передача паролей не отменяет необходимости проверки подлинности все равно через LDAP. Всегда есть вопрос безопасности самого файла (чтобы не удалили и не раздавали), и его резервного копирования и версионности. Отсюда возникает вопрос использования Password management, кроме сервиса авторизации. Еще раз, Password management - -ne (или !=) authentication and authorization. Хранение паролей - одна система, проверка правильности - другая. Из всего множества сервисов, мне пока не удалось выбрать наиболее удобный. Коллеги в одном уютном чате много обсуждали разнообразные варианты, в том числе и Rattic, но к единому мнению и доводам плюсов и минусов так и не пришли. Если кто пробовал разные - может написать в комменты. Минус тот же - хотя в системах Password management и есть API, но искаропки все же пароли необходимо синхронизировать вручную. Это огромная дыра в безопасности, если в системе будут пароли уровня Domain Admin, и база так или иначе утечет - поскольку по понятным причинам вся база если и зашифрована, то обратимо, иначе как она вам пароли покажет? Кроме прочего, Rattic хвалили тут, может и не так плох.

Инвентаризация прав и графическое построение кто какие права в AD имеет.

Была такая задача как-то, найду- выложу. У MS были шаблоны на powershell для подобного.

Last updated