Страничка злого юмора про ALD Pro. Часть 1.
Невозможно иногда не смеяться, когда копаешься во внутренностях до сих пор сырой ALD Pro. Мне, как админу, психологически бывает тяжело от осознания, что я должен поддерживать и обеспечивать бесперебойную работу этой альфа версии патченной и перекрашенной русскими разработчиками американской системы FreeIPA от Red Hat. Только юмор и смех помогают философски относиться к ситуации, когда не успеваешь создавать тикеты на каждую нажатую кнопку, приводящую к проблеме.
Как сломать ALD Pro?
С коллегами обзываем ALD Pro хрустальной вазой. Эта сущность должна стоять в серванте и лучше её не лапать своими грязными ручонками. Ей нужно восхищаться издалека и не трогать от слова совсем. Но реальная жизнь - это постоянные изменения: добавление/изменение пользователей, компьютеров, ролей, групповых политик и всего того что существует в домене.
Рассказываю как легко сломал ALD Pro по её инструкции. Действия воспроизвёл сотрудник Астры на своих тестовых стендах и перевёл тикет в состояние "Передано разработчикам".
В инструкции есть строки
В домене "ALD Pro" уже есть роль "Enrollment Administrator", которая включает привилегию "Host Enrollment", объединяющую почти все необходимые разрешения за исключением права на создание хостов "System: Add Hosts", поэтому самым простым способом решения задачи делегирования является расширение списка разрешений и назначение роли "Enrollment Administrator" соответствующему пользователю.
Главный вопрос: какого хера роль Enrollment Administrator, подразумевающая право вводить компы в домен, по умолчанию не имеет разрешения System: Add Hosts в привилегии Host Enrollment?
Взял из инструкции команду
ipa privilege-add-permission 'Host Enrollment' --permissions='System: Add Hosts'
И всё! Теперь команда ipa permission-find --all вызывает ошибку: ipa: ERROR: произошла внутренняя ошибка
В веб-интерфейсе FreeIPA в различных местах, связанных с ролями, привилегиями, разрешениями будет всплывать такая же ошибка.
Веб-интерфейс FreeIPA лучше веб-интерфейса ALD Pro
В одном из видеоконференц-связи с разработчиком Астры в рамках решения тикета по наполнению своей собственной роли нужными привилегиями, специалист Астры сразу сказал переключиться в веб-интерфейс FreeIPA, так как нужное в веб-интерфейсе ALD Pro просто не реализовать.
Без комментариев!
Лживые слоганы астровцев: Простое управление службой каталогов ALD Pro
ALD Pro! Простое решение сложных задач
В ALD Pro не требуется консоль и глубокие знания Linux. Обо всём позаботились разработчики
Удалить? УДАЛИТЬ? Удлаить!
Сделал дамп postgresql на контроллере домена ALD Pro 2.3.0 для аналитики какими данными можно поживиться!? Оказалось никакими 
-- -- Data for Name: django_admin_log; Type: TABLE DATA; Schema: public; Owner: helpcenter -- COPY public.django_admin_log (id, action_time, object_id, object_repr, action_flag, change_message, content_type_id, user_id) FROM stdin; 1 2023-01-31 09:12:38.628+03 80 Удалить 3 13 1 2 2023-01-31 09:12:38.657+03 76 Удлаить 3 13 1 3 2023-01-31 09:12:38.659+03 75 Удалить 3 13 1 4 2023-01-31 09:12:38.661+03 74 Удалить 3 13 1 5 2023-01-31 09:12:38.662+03 70 УДАЛИТЬ 3 13 1 6 2023-01-31 09:13:43.443+03 80 Удалить 3 13 1 7 2023-01-31 09:13:59.074+03 76 Удлаить 3 13 1 8 2023-01-31 09:14:29.267+03 75 Удалить 3 13 1 9 2023-01-31 09:14:47.525+03 74 Удалить 3 13 1 10 2023-01-31 09:15:04.621+03 70 УДАЛИТЬ 3 13 1 11 2023-01-31 09:17:46.148+03 76 Удлаить 3 13 1 12 2023-03-03 15:16:53.39+03 101 Потерянные ссылки 3 13 1 \.
Это просто 5 баллов! Удалить, УДАЛИТЬ, Удлаить. Как хочу, так и журналирую в django_admin_log. Безграмотность часто соседствует с некомпетентностью.
Операция ЫЫ. Почему ЫЫ? Чтоб никто не догадался!
Вот ещё перл из вышеописанного дампа. В PostgreSQL есть нижеописанный мусор от разработчиков. Особо улыбнуло что в установленной с нуля ALD Pro 2.3.0 в какой-то из таблиц по всей стране упоминается "Типовые требования ALD Pro 1.4.0 (2).docx"
-- -- Data for Name: wiki_attachments_attachment; Type: TABLE DATA; Schema: public; Owner: helpcenter -- COPY public.wiki_attachments_attachment (reusableplugin_ptr_id, original_filename, current_revision_id) FROM stdin; 3 Зимбра 1 \N 4 API ALD Pro \N 5 API ALD Pro \N 7 ыы \N 8 Памятка к ДМС \N 9 test \N 10 test \N 12 test.txt 17 13 test \N 14 test.txt 3 15 test.txt 5 16 test.txt 7 17 orig.png 9 18 test.txt 11 19 test.txt 22 20 test.txt 14 27 ALDPro.png 21 28 Типовые требования ALD Pro 1.4.0 (2).docx 23 29 111.png 20 \.
Вот ещё мусор из избы разработчиков, что услужливо они бросили в мой дом. IP адреса вида 10.177.х.х - это адреса стендов разработчиков, а ALD Pro 2.3.0 с нуля я поднял в 2024 году, поэтому и даты типа 2021-10-27 12:20:11.846+03 - не мои!
-- -- Data for Name: wiki_revisionpluginrevision; Type: TABLE DATA; Schema: public; Owner: helpcenter -- COPY public.wiki_revisionpluginrevision (id, revision_number, user_message, automatic_log, ip_address, modified, created, deleted, locked, plugin_id, previous_revision_id, user_id) FROM stdin; 1 0 \N 2021-10-27 12:20:11.846+03 2021-10-27 12:20:11.846+03 f f 1 \N 1 9 0 10.177.232.175 2023-06-14 18:39:44.327+03 2023-06-14 18:39:44.327+03 f f 26 \N \N ... 48 0 10.177.15.81 2023-06-16 12:49:06.866+03 2023-06-16 12:49:06.866+03 f f 68 \N \N 49 0 10.177.15.81 2023-06-16 13:39:15.377+03 2023-06-16 13:39:15.377+03 f f 69 \N \N ... 277 0 10.177.235.1 2024-02-14 18:13:39.198+03 2024-02-14 18:13:39.198+03 f f 295 \N \N \.
Такие таблицы намекают что вся ALD Pro это какой-то тестовый полигон, чьи клоны должны работать на серьёзных российских предприятиях.
Русские ещё не всё перевели с американского.
Процесс покраски в российский триколор американской FreeIPA от Red Hat ещё далёк от завершения. Поэтому пока так: часть по-английски, часть на русском, ну и небольшая часть на смешанном диалекте - Can add Порядок отображения страницы.
-- -- Data for Name: auth_permission; Type: TABLE DATA; Schema: public; Owner: helpcenter -- COPY public.auth_permission (id, name, content_type_id, codename) FROM stdin; 1 Can add log entry 1 add_logentry 2 Can change log entry 1 change_logentry 3 Can delete log entry 1 delete_logentry ... 53 Может редактировать, блокировать, разблокировать и восстанавливать все статьи 13 moderate 54 Может менять владельца каждой статьи 13 assign 55 Может назначать права другим пользователям 13 grant ... 120 Can add Порядок отображения страницы 30 add_urlindex 121 Can change Порядок отображения страницы 30 change_urlindex 122 Can delete Порядок отображения страницы 30 delete_urlindex 123 Can view Порядок отображения страницы 30 view_urlindex \.
Собственное изучение ALD Pro. Ролики воссоздают задания, которые шли к тестовому полигону из 8 готовых виртуальных машин.
Видео ALD Pro от разработчиков.
Дополнительные материалы:
Дата последней правки: 2024-07-29 14:30:33