Vlákno názorů k článku
Ubuntu 20.10 nabídne podporu Active Directory během instalace od volani.webnode.cz - Já sev tom moc nevyznám. AD řeší Tonze...

Já sev tom moc nevyznám. AD řeší Tonze se že serveru tahají data která jsou potřeba a pak se provádí synchronizace? Když se uživatel odpojí tak data zůstanou? Šifruje to ta data? Řeší se při střídání uživatelů mazání starých dát automaticky? Dá se místo kvót a limitu nastavit možnost třeba využít disku v %? Linux to umí také ale řeší to přes NFS? Umí Windows NFS?
Umí už NTFS v Linuxu ukládat data s kompresí?
Já nikdy moc AD nevyužíval. Ale sdílel jsem data přes sambu a paralelně třeba přes FTP. A teď je hrozně možnosti jak synchronizovat data.
Já většinou používal jeden účet pro víc uživatelů. Většinou i zaměstnání občas někdo potřeboval využívat účet někoho jiného. Je pak hrozně práce s nastavením sw a instalaci různých věcí. Připadá mi že když sdílí jeden PC víc lidí tak je to lepší pod jedním účtem. Ale láká mě využívat třeba multiseat.

Ptáte se na to, co umí AD a Windows? Pak zní odpověď, že prakticky všechno, co jste vyjmenoval. Pokud se ptáte, co umí Linux, tak jen minimum z toho (a rozhodně ne automaticky).

Připadá mi že když sdílí jeden PC víc lidí tak je to lepší pod jedním účtem.

Heh?

Windows niektoré veci vie a niektoré veci tiež nevie.

Napríklad Windows musí byť pripojený do presne jednej domény, ani menej, ani viac a používateľ, pokiaľ chce pristupovať k zdrojom v ďalšom realme, ktorý nemá trust s jeho domovským realmom, tak má dosť smolu (typický prípad: jedna doména u zamestnávateľa a druhá u zákazníka). Ďalšia chuťovka je Kerberos z počítača bez joinutia do domény. Oba prípady sú v Linuxe a MacOS len ďalší kinit (alebo naklikanie v Linuxe cez Gnome Online Accounts, resp. v macOS cez Ticker Viewer / auth-sso).

Celé to má praktický dôsledok že tí, čo používajú Linux a MacOS majú funkčný Kerberos všade a tí, čo používaju Windows, sú trénovaní v neustálom vyťukávaní hesla.

Z pohledu správy domény a její bezpečnosti přesně to, co vyjmenováváte dává smysl. Pokud nedůvěřuji (já, jako správce) jinému realmu, proč bych povoloval trust?

Jinak z pohledu uživatele v tom moc rozdíl nevidím. K zákazníkům si připojím VPN a pracuji s jejich vzdálenými prostředky, aniž bych heslo vyťukával, pověření je uložené. U připojení VPN se musí nastavit UseRasCredenti­als=0.

Však nikto po vás ako po správcovi nechce, aby ste povoľovali trust (osobne som ho ešte nevidel nikde, okrem prípadov majetkovo prepojených spoločností). Keďže však trust poväčšinou neexistuje, tak používatelia nafasujú viacero credentials z viacero realmov, dostali ich za nejakým účelom a ten účel majú napĺňať.

Credentials nie sú len za účelom pripojenia k VPN; používateľ si otvorí nejakú webovú aplikáciu na intranete na opačnej strane alebo pristupuje k fileserveru a hneď ťuká heslo. Teda pokiaľ jeho klientsky systém nevie pracovať s viacerými credentials, ako bolo uvedené vyššie.

UseRasCredentials=0 mu v tom nepomôže, to rieši iný problém. Niektoré VPN majú ambíciu to riešiť (Fortigate SSO), je to stále narovnávak na ohýbak. Znovu sa vraciam k tomu, že systémy ktoré vedia spracovať viacero realmov, takýto problém vôbec nemajú.