Door Anoniem: Jouw oordeel is ook mijn oordeel: "De bedrijfsprocessen zijn niet op orde."
In jouw voorbeeldjes de inhuurpraktijk. Heb ook wel gehoord van grootbedrijven waar in pak op je werk verschijnen belangrijker is dan weten wat je doet.
Wat dan tot gevolg heeft dat in een toch diep technische en in context obscure hoek als Unixbeheer het niet onmogelijk is dat er mensen zitten waarvan niemand weet wat ze uitvreten, zij zelf ook niet, waar dat onder beheerders en gebruikers van "meer gangbare" (let wel: binnen dat kantoormilieu!) systemen minder lang vol te houden zou zijn want er zijn eerder mensen die het doorhebben.
Wat overigens niet wil zeggen dat iedere gebruiker van de gangbaardere technieken automatisch competenter zal zijn. Het is veeleer het geval dat er binnen dezelfde groep dezelfde gewoonten en technieken gangbaar zullen zijn waardoor er vergelijkingsmateriaal voorhanden is. Wat niets zegt over hoe geweldig de technieken zijn.
Als illustratie van het punt is "the daily WTF" lezen zeer leerzaam. "The Brilliant Paula Bean" is klassiek.
Het is dan ook niet gek dat "disruptive innovation" vooral uit de startup-hoek komt, wegens nog niet vastgeroest en daarom in staat zelfs kleine comparatieve voordelen in gewin om te zetten.
Dit alles staat mijlenver van het verschil in codequaliteit (die in linux ook niet altijd even goed is, zeker niet sinds grootbedrijven zijn begonnen met code aan te dragen) en fundamentele architectuur (die linux door kopieeren meegekregen heeft van Unix, en windows op cruciale punten niet) waar het argument om begon.
De security data governance is daarmee een onderwerp wat niet meer gedragen wordt. Dat zou niet zo mogen zijn.
Het is ook een veel hoger niveau dan waar het om begon. Niet dat daar niet ook veel te verbeteren is.
Nu ben ik benieuwd naar jouw positie. Je noemt jezelf Unix-heheerder. Nogal logisch dat je je opsteld dat je vind dat je alles goed doet nooit iets verkeerd ziet en alleen joud mening de enige waarheid is.
Die houding, daar was me het nu net om te doen. die is niet cooperatief oplossend. Zie je dat anders?
Dat tekent (alweer) vooral je eigen aannames. Ik ga er niet van uit dat ik alles goed doe en alles beter weet. Veeleer ben ik iemand die eerder technische kennis opzoekt dan aanneemt en maar hoopt dat de werkelijkheid naar mijn hand te zetten zal zijn.
Er zijn situaties waar ik als beheerder
moet zeggen, "tot hier en niet verder", of "als je dat doet dan gaan er vitale dingen mis", al was het alleen maar vanuit de taak waarvoor ik ben aangesteld, of om mezelf het werk in de toekomst niet volstrekt onmogelijk te maken.
Buiten dat ben ik een techneut met een zeker begrip van de materie en doe ik deze job omdat ik hier goed in ben en niet omdat ik goed ben in bolletjes aaien en verzekeren dat de hemel niet zal vallen als je nu op dat knopje muisklikkert. Daar zijn andere mensen echt beter in, maar daarvan zijn er maar weinig die zo handig zijn in de machines hun wil opleggen, of wellicht simpelweg foutzoeken, als ik. Mijn redenering is meestentijds gedreven door ratio, waarmee een "nee" minder snel een politiek spelletje is dan een "I cannae change the laws of physics, cap'n!"
En in zekere zin, als ik ben aangesteld om een technische vraagbaak te zijn dan is mijn woord de ultieme waarheid (op dat gebied, binnen de organisatie) of ik nou objectief gelijk heb of niet. Je ziet dat vaak genoeg misgaan, en op alle mogelijke manieren, overigens, maar dat maakt het mechanisme niet anders. Minder grootsprakig gesteld, ik neem meestal aan dat ik ingehuurd wordt voor mijn technische kennis en dan gaat het niet aan dat anderen technische beslissingen die binnen mijn remit vallen mij opleggen. Aanwezigheid en manier van invulling van zulke voorselektiekaders zijn een belangrijke afweging bij mijn keuzes waar te soliciteren, bijvoorbeeld. Maargoed, tot zover de filosofie.
Overigens zijn politieke spelletjes een duidelijk signaal dat de hogere bedrijfsprocessen niet op orde zijn. (Voorbeeld: Hier is nokia aan ten gronde gegaan, zie bv. de analyses van Andrew Orlowski op the register.) Leuk om over na te denken wat het moedwillig inhuren van ervaren politieke spelletjesspelers betekent voor de staat van je (groot)bedrijf.
Over die technische kant. Laat ik een voorbeeld nemen. Komt een developer met het verhaal dat voor NFS over alle meeNFSende machines de UIDs hetzelfde moeten zijn. Hij heeft zijn eigen computer van huis uit meegenomen ("want net lekker opgezet", wordt er nog voor gecompenseerd ook, plus behoudt hetzelfde salaris van voor ontslag voor een dag minder werk, hele rare bedrijfspolitiek aldaar) en zegt "mijn UID is 1037 op mijn machine, regel jij even dat de rest van de machines dat ook zo zien?"
"Nee." zei ik toen, "Jouw UID binnen dit netwerk is 6049, volgens staande policy, en je weet vast wel hoe de rest zelf te regelen op je eigen machine." Ik was nou niet echt van plan om alle bestanden op alle servers onder mijn beheer na te lopen omdat hij te lui is dat op zijn eigen machine te doen. Dat hij administratierechten op z'n eigen machine behield bij invoer en NFSaansluiting had ik eigenlijk al als beveiligingsprobleem moeten aankaarten, maar dat was in context wel een brug te ver geweest.
Maakt mij dat een arrogante betweter? Ongeschikt als teamplayer? Onconstructief en vuilgebekt?
Als beheerder heb ik de macht maar ook de plicht om beleid binnen mijn beheersvlak te maken en vervolgens consequent toe te passen. Dat heeft als gevolg dat er winden zijn waar ik niet in meewaai, of jij dat nou leuk vindt of niet.
Ik geloof ook niet dat een technische benadering "het ligt aan Linux/Window" de oplossing voor het falen van het bedrijfsproces is. Ik hoop dat we het daar over eens zijn.
Als dat is wat je bedoelde, dan was het handiger geweest het even anders te zeggen. De insteek was technisch.
Het is trouwens de reden dat ik wil reageren als iemand voor de technische waanidee gaat. Voor mij is dat ongeloofwaardig wat bestreden moet worden. Een techniek lost geen menselijke domheid op. Keuzes maken is ok.
Sommige keuzes zijn wel objectief beter dan andere, hoewel "beter" nogal afhangt van je meetlat. Praat je met techneuten dan is de meetlat technisch. Mijn technische inzichten vertellen mij dat windows als software en in softwarearchitectuur nogal rot is tot op het punt dat het niet aan te houden is als beveiliging tegen malware en dergelijke prioriteit heeft. Dan zul je echt naar iets anders op zoek moeten.
De standaardoplossing met oplapsoftware werkt niet structureel, maar houdt wel een hele cottage-industrie aan het werk. Is niet goedkoop, levert de eindgebruiker nauwlijks wat op, en is in dat opzicht niet kosteneffectief. Kan het ook niet zijn. Is wel "goed voor de economie" als dat je ding is, daar niet van. Maar met betere software die niet opgelapt hoeft te worden hadden we dat geld ook aan andere dingen kunnen uitgeven. Een raket naar de maan, weet ik veel.
Is je meetlat "ziet het er leuk uit op m'n desktop" en "heeft de verkoper een gelikt praatje" of zelfs "is dit wat alle andere grootbedrijven (bv. de fortune 500) gebruiken?" dan komt er ineens iets heel anders uit de vergelijking.
Welke meetlat je gebruikt zegt ook iets over de prioriteiten die binnen het bedrijf gehanteerd worden. De rest van deze gedachte kan je wellicht onderhand zelf bedenken.
Als niet dan zeg ik "LiMux" en nodig je uit daarover elders meer te lezen.
Je argument was nu net dat Unix ontworpen was voor mulituser. Deze faalt dus in een Unix cluster. Hier loopt AD/Windows ver voor.
active directory is zoals redmond zelf zegt een resultaat van hullie hun "embrace and extend" van kerberos en LDAP, beide afkomstig van en veel gebruikt binnen de Unixwereld. Unixclusters worden over het algemeen uit componenten opgebouwd (door competente beheerders) en dus niet als one-size-fits-all met fancy GUI in je bedrijf geplopt.
En als we het over clusters hebben, kijk eens naar de top500 van supercomputers. Dat zijn tegenwoordig allemaal clusters. Kijk ook welke besturingssystemen er populair zijn. Of kijk naar welke besturingssystemen een tent als CERN gebruikt voor hun databehandeling en hoeveel gebruikersaccounts ze bedienen, en hoe groot het gebied is die hun userbase bestrijkt.
Dan klinkt jouw ophemelen van AD net als toen ik fanbois powershell hoorde ophemelen. "Aw, ain't that cute."
Typisch is net ngroups_max (bestaat zowel in Windows en Unix/Linux) --- Historische limiet in NFS.
Hier zit je fout het is een kernel Unix/Linux instelling te vinden als: http://man7.org/linux/man-pages/man2/getgroups.2.html limits.h is de betreffende C-structure. Kontroleer je eigen system maar eens waar die op staat.
Vergelijk:
https://www.freebsd.org/cgi/man.cgi?query=getgroups en
https://www.freebsd.org/cgi/man.cgi?query=sysconfKijk ik hier in sys/syslimits.h en dan is NGROUPS_MAX 1023.
Die waarde van 16 werd (praktijkervaring) door CCSIP als de heilige bovengrens in een RBAC setting geroepen.
Dat is dus vanwege een quirk in NFS (v2, v3), of liever de RPC (
http://www.ietf.org/rfc/rfc1831.txt, Appendix A, AUTH_SYS) waar NFS op bouwt. Je kan die limiet wel omzeilen of zelfs laten verdwijnen, maar niet als je 'm eerst tot gospel verheft.
Kom nu aub zelf met een oplossing die aan al deze eisen kan voldoen.
Waarom?
Ik kan je een voorstel geven, echter het aantal groepen per user loopt hard op
De gangbare reactie die ik krijg van Unix mensen (niet bij Windows)....... moet de applicatie maar oplossen ofwel vrij vertaald: niet in staat om het te begrijpen dan wel op te lossen. Ik zie gaarne bewijs van het tegendeel.
Als je de vraag zo stelt dat alleen de grootste hamers nog raak kunnen slaan dan is de allergrootste hamer natuurlijk de enige juiste oplossing. En toch is de koperslager niet blij als je 'm alleen maar een moker (of een heimachine. geeft toch ook klappen, ja toch niet dan?) geeft om z'n werk te doen. Wil je meer opties dan moet je de vraag minder abstract stellen.
Dat jij dan vooral ervaring hebt met mensen die een enkele hamer kennen en dus ook altijd die hamer als antwoord geven zegt meer over jouw achtergrond dan over de geschiktheid van de hamers die je krijgt aangereikt.