Forum IT Tranquillo

Buongiorno,

Ti rispondo molto tardi, ma qui le cose procedono al loro ritmo.

Grazie a tutti i vostri preziosi consigli, sono riuscito a eseguire i miei test in VirtualBox senza problemi e ho potuto fare una presentazione/demo ai miei superiori. Hanno apprezzato lo strumento e hanno approvato l'impostazione di un esperimento prima di una potenziale implementazione nel mondo reale.
Successivamente, abbiamo avviato un test in una condizione di stabilimento e funziona perfettamente nelle condizioni menzionate sopra nei post precedenti (server centrale che funge da repository centrale, repository locale in stabilimento per gruppi e macchine locali e repository secondario sincronizzato con quello centrale, client configurati per questi 2 repository).

Spero di poter organizzare corsi di formazione sui prodotti per me e i miei colleghi, e persino di poter disporre di un servizio di implementazione del sistema, inclusi i servizi per la migrazione da SE3 a Samba4. Ma questo è un altro discorso e, prima di farlo, devo ancora fornire alcune informazioni aggiuntive.

Pertanto, in seguito a questi test "reali" e alle richieste dei miei superiori, ho alcune domande in merito all'uso previsto:

• - Esiste un modo per creare certificati in blocco (tramite riga di comando dal server, ad esempio) in modo che possano essere generati in anticipo per tutti i siti, e poi dire ai server/console/client locali di utilizzare questi certificati invece di doverne generare uno durante l'installazione locale della console? Credo di sì, ma preferirei che tu mi fornissi il comando o qualche indicazione.
  - Un'altra domanda molto importante nel nostro caso: esiste un modo sui server locali delle istituzioni per impedire l'uso delle funzioni "importa da Internet" e "importa da file" per garantire che le persone autorizzate a utilizzare le console non possano scaricare pacchetti "non autorizzati" tramite Internet? Vedo un modo per consentire solo il nostro repository attraverso un firewall, ma preferirei che questa funzione non fosse utilizzabile.
  - Per confermare, la differenza tra l'utilizzo del repository secondario centrale e l'importazione manuale da esso tramite console è: nel primo caso, un aggiornamento del pacchetto verrà distribuito automaticamente alle strutture senza intervento umano una volta eseguito rsync tra il repository centrale e quello secondario. Nel secondo caso, invece, quando il pacchetto aggiornato viene importato manualmente in una console locale, non verrà aggiornato perché considerato un nuovo pacchetto con la firma locale. È corretto?
  Inoltre, per conferma, un certificato perso è irrecuperabile in modo permanente; in questo caso, è necessario generarne uno nuovo e reimportare tutti i pacchetti affinché adottino la nuova firma? (Questo mi sembra ovvio, ma vorrei una conferma.)

Grazie per il tuo prezioso aiuto passato e futuro.
@micalement,

Beniamino

Benjam ha scritto:Buongiorno,

Ti rispondo molto tardi, ma qui le cose procedono al loro ritmo.

Grazie a tutti i vostri preziosi consigli, sono riuscito a eseguire i miei test in VirtualBox senza problemi e ho potuto fare una presentazione/demo ai miei superiori. Hanno apprezzato lo strumento e hanno approvato l'impostazione di un esperimento prima di una potenziale implementazione nel mondo reale.
Successivamente, abbiamo avviato un test in una condizione di stabilimento e funziona perfettamente nelle condizioni menzionate sopra nei post precedenti (server centrale che funge da repository centrale, repository locale in stabilimento per gruppi e macchine locali e repository secondario sincronizzato con quello centrale, client configurati per questi 2 repository).

Spero di poter organizzare corsi di formazione sui prodotti per me e i miei colleghi, e persino di poter disporre di un servizio di implementazione del sistema, inclusi i servizi per la migrazione da SE3 a Samba4. Ma questo è un altro discorso e, prima di farlo, devo ancora fornire alcune informazioni aggiuntive.

Pertanto, in seguito a questi test "reali" e alle richieste dei miei superiori, ho alcune domande in merito all'uso previsto:

• Esiste un modo per creare certificati in blocco (tramite riga di comando dal server, ad esempio) in modo che possano essere generati in anticipo per tutti i siti, e poi indicare ai server/console/client locali di utilizzare questi certificati anziché doverne generare uno durante l'installazione locale della console? Credo di sì, ma preferirei che tu mi fornissi il comando o qualche indicazione.

Stiamo utilizzando OpenSSL, quindi sì!

Benjam ha scritto: - Un'altra domanda molto importante nel nostro caso: esiste un modo sui server locali delle istituzioni per impedire l'uso delle funzioni "importa da internet" e "importa da file" per garantire che le persone autorizzate a utilizzare la console non possano scaricare pacchetti "non autorizzati" tramite internet? Capisco come consentire l'accesso solo al nostro repository tramite un firewall, ma preferirei che questa funzione non fosse utilizzabile.

Beh, è ​​qui che la cosa si complica, perché non ne sono a conoscenza e non è qualcosa di standardizzato.
Sono appena stato assunto presso tranquil.it e so che il caso che vuoi impostare è in lavorazione e penso che potremmo essere in grado di offrirti qualcosa.

Ti consiglio di contattare Vincent Cardon di tranquil.it; lui saprà rispondere alla tua domanda.

Benjam ha scritto: - Per confermare, la differenza tra l'utilizzo del repository secondario centrale e l'importazione manuale da esso tramite console è la seguente: nel primo caso, un aggiornamento del pacchetto verrà distribuito automaticamente alle infrastrutture senza intervento umano una volta completata la sincronizzazione tra i repository centrale e secondario. Nel secondo caso, invece, quando il pacchetto aggiornato viene importato manualmente in una console locale, non verrà aggiornato perché verrà considerato un nuovo pacchetto con una firma locale. È corretto?

Questo è tutto!

Benjam ha scritto: - Inoltre, per conferma, un certificato perso è irrecuperabile in modo permanente; in questo caso, è necessario generarne uno nuovo e reimportare tutti i pacchetti in modo che adottino la nuova firma? (Mi sembra ovvio, ma vorrei una conferma)

Sì, è proprio così!

Benjam ha scritto: Grazie per il vostro prezioso aiuto, passato e futuro.
Cordialmente,

Benjam

Salve e grazie per le vostre risposte, che confermano quanto pensavo.

Per quanto riguarda OpenSSL, esaminerò più attentamente la generazione in blocco di tutti i certificati e le procedure necessarie (la copia su indirizzi privati ​​e SSL, presumo, e soprattutto come automatizzare la distribuzione dei client con questo certificato) sulle console remote in modo che possano utilizzarlo.
Non lo stiamo ancora implementando nelle nostre istituzioni, quindi non c'è fretta, ma è meglio preparare un piccolo script in anticipo per quando sarà il momento.

Grazie anche per le conferme.

Per quanto riguarda il problema delle funzioni di importazione bloccate da altri repository, contatterò nuovamente Vincent.
In ogni caso, io e/o i miei superiori dobbiamo contattarlo di nuovo a breve riguardo a Samba4/WAPT/Creazione di pacchetti, e coglierò l'occasione per chiedere una soluzione a questo problema, che potrebbe rappresentare un vero ostacolo all'implementazione di questa soluzione per i miei superiori.

Grazie ancora per le vostre risposte.
Cordiali saluti,

Benjam