7

在尝试将一些完善的工具链接到我公司的活动目录时,我遇到了障碍。有人告诉我:

“抱歉,我无法信任 [F/OSS] 软件的域管理员密码……”。

这个问题专门涉及如何让 IT 相信 F/OSS 软件不会(自动)因为它是 free/oss 而比任何其他软件更值得信赖

我在采用 OSS 软件方面做得很好(我本质上是一个 linux 忍者)所以换一种说法:我如何才能在我的公司促进对 OSS的接受?

在没有管理员帐户的情况下绑定 AD 的技术问题是另一篇文章。

编辑:

我对这些问题有了一些澄清。这实际上与活动目录几乎没有关系,而通常与 F/OSS 的信任有关。所以我认为我原来的粗体问题仍然有效,只需忽略关于“管理员密码”的部分。

4

13 回答 13

8

任何称职的 IT 人员都会很清楚开源软件的好处。

给我的答案对我来说听起来像是一个手掌般的答案,为什么他们不想实现它的一些可能性可能是:

  • 可能缺乏对特定软件开源软件的企业级支持
  • 不希望非 IT 部门员工修改活动目录(您)
  • 您发现的软件没有其他同类产品的行业认可度
  • 对于 IT 部门需要他们完成的工作(在初始设置和持续维护中)没有感知到的好处
于 2008-12-17T19:26:15.887 回答
7

我是系统管理员。从我的角度来看,这个问题与信任开源软件无关。您的 IT 人员提到了一个特定案例,说他不信任域管理员用户名和密码。我认为他可能关心存储该用户名和密码的软件。如果这实际上是它的工作原理,我会拒绝开源或商业软件的请求。没有正确设置的系统应该需要存储域管理员用户名和密码,可能是具有较低凭据的帐户,或者取决于工具是否是交互式的,它设置为在运行时请求凭据并针对域进行身份验证。

最重要的是,您需要与 IT 合作,以更好地了解您和他们的需求。事情不必总是只是一个是或否的问题。

于 2008-12-17T19:42:03.093 回答
4

我会这样尝试:

为什么开源软件的可信度不如封闭源软件?如果有的话,其代码的透明度将要求它在密码等私人数据存储方面更加值得信赖,因为任何破坏它的企图都可以通过检查源代码来发现。

当然,这仅在公司自己编译源代码并且不信任二进制分发时才有效。

于 2008-12-17T19:18:54.200 回答
3

询问他们是否已阅读许可证,因为这也是他们反对的。具体询问他们许可证中的哪些内容对他们来说是个问题。如果他们真正抵制的是开源软件,那么这是与抵制 GPL 不同的问题。

于 2008-12-17T19:29:09.890 回答
3

为什么不以非域管理员身份运行?我可以理解为什么他们不想为任何软件提供域管理员密码。特别是如果只有一个“域管理员”帐户。

您如何确定运行软件所需的权限并请求仅具有这些权限的新帐户。您可以说服他们将其放在不同的 OU 中,并进行额外的审核。如果软件提供了价值,您正在为他们创建一个“审核”并决定信任 OSS 的流程。

于 2008-12-17T19:38:12.930 回答
2

准确地确定他对 F/OSS 软件的不信任之处,然后您可以调整您的解释来解决他的顾虑。

  • 是否担心后门被编码?
  • 是否担心导致安全风险的代码质量?
  • 是否担心安全风险将在多长时间内得到解决?
于 2008-12-17T19:25:39.663 回答
1

“如何让 IT 相信 F/OSS 软件不会(自动)因为它是免费/开源软件而比任何其他软件更值得信赖。”

“如何促进我公司对 OSS 的接受?”

你不能。

你能做的只有以下。

  1. 找到他们当前使用的 F/OSS。这可能很难。在某些情况下,这是微不足道的,因为许多人使用 Apache 和 Java 时没有考虑它。

  2. 询问您将使用的内容与他们已经使用的内容有何不同?

这将为恰好一个新的 F/OSS 提供理由。或者,他们会发疯并驱逐他们一直在使用的东西。

你无法做出普遍的理解。您一次只能制作一个具体的详细案例,直到其他人开始自己拼凑全局。

于 2008-12-17T19:43:06.040 回答
1

有时他们不是,有时他们是。你需要证据来支持你的想法。

CVE 编号不会说谎。访问http://cve.mitre.org/http://www.securityfocus.com/bid/http://www.secunia.com并比较您的同系列产品的商业版和 OSS 版d 选择。

看看哪个更好,有时这是因为 OSS 产品真的很垃圾,例如 PHPNuke,但有时在安全性方面,例如 qmail,它非常好。

另外不要忘记您需要选择一个拥有良好社区的 OSS 解决方案,否则您可能会看到该项目在一年后就死了。这在商业世界中是可能的,但让我们面对它不太可能

于 2008-12-17T20:22:06.477 回答
0

我会把责任交给 IT 来证明他们的情况。简单地问“为什么不?”,或者可能是“你有什么证据表明这比非 GPL 软件更不安全?”。如果他们试图给出一些解释,你可以采取其他一些建议来向他们解释他们的误解。如果他们只是顽固地坚持自己的立场,那么他们就是在阻碍你做你的工作——而且没有充分的理由。轻轻地向他们解释你是如何发现了为公司增加价值的令人难以置信的价值(即免费)软件,并且你确信更高级别的管理人员会希望你利用它。希望这会提醒他们没有证据。如果连这都失败了而且很重要,那么您可以将其带到更高的管理级别,但要谨慎行事,因为这是制造敌人的可靠方法。

于 2008-12-17T19:28:18.033 回答
0

你想用什么工具?制定有关使用这些工具将节省多少时间/$$ 的商业案例。举出使用这些工具的其他非常成功的公司(想到谷歌)的例子。

于 2008-12-17T19:50:03.497 回答
0

首先也是最重要的,确保 IT 部门的这些决定被记录在某个地方。电子邮件什么的。如果您因此无法有效地完成工作,请确保您有足够的文档来将责任转移到它所属的地方。

于 2008-12-17T19:58:31.467 回答
0

超越 IT。您的系统管理员可能会遵循公司其他地方(通常是法律部门)制定的规则。如果是这种情况,您可能有一位不了解软件或 FOSS 的公司律师对公司律师对未知事物的典型反应做出反应——禁止这样做。在证明成本和安全优势后,您可能需要要求公司联系 FOSS 领域的法律专家。

于 2008-12-18T02:40:08.520 回答
-1

您在谈论 Windows 管理员。只需指出 MSFT 如何处理最近的安全问题(例如最近主流媒体告诉人们使用备用浏览器的 IE 漏洞),并询问 OSS 如何变得更糟。

于 2008-12-17T19:54:29.200 回答