Active Directroy — всё так плохо?

389 Directory Server?

https://ru.wikipedia.org/wiki/389_Directory_Server ? Не то что тебе надобно?

P.S. пользую samba4 в продакшене. Можно рулить с консоли. Можно через винды. Рулю и так, и эдак. Пользуюсь Kerberos. LDAP который там идёт - не гибок, но зато AD подобен. Пока всё устраивает. По CIFS в целом в домене бегает норм. Самбовый DNS не юзаю, прекрасно справляется: dhcpd + bind = ddns.

Скорее даже freeipa

встала задача поднять AD

у меня видны нет

freeipa

С самбой мало работал, но насколько я понял, есть возможность завести базу пользователей samba на ldap-сервере.

passdb backend = ldapsam:ldap://<your-hostname>

Либо натравить на ldap winbind, а аутентифицироваться уже через него.

А если тебе нужна аутентификация на samba-шаре через 5-ый kerberos, а не ntlm, то без samba4/AD/Своих костылей не обойдёшься, т.к., насколько я в курсе, керберос там не стандартный.

Это было в третей версии. В четвёртой уже нет. Только встроенный ldap.

Привязка к bind в четвёртой тоже через пятую точку. По крайней мере, я потыкался с пол часа, но конфиг с dlz/dload падает у меня с segfault.

При этом у меня ещё и несколько dns — как их собрать в одну кучу — ещё не представляю.

Т.е. у меня dhcpd+ddns на одном и bind-slave на другом. А теперь ещё и samba-dns сюда как-то впихнуть надо.

А freeipa/398 могут в standalone? (без красношапки, что-то ничего найти не могу по этому поводу)

А freeipa/398 могут в standalone? (без красношапки, что-то ничего найти не могу по этому поводу)

Сервер freeipa без красношапки (центоси достаточно) год назад точно не мог, как сейчас — не знаю.

Ну для аутентификации cifs шар на солярисе, по идее, должно хватить и третьей самбы.

А если тебе нужна полноценная инфраструктура для вин-клиентов, то имеет смысл брать AD и не парить мозг.

fedora/centos - freeipa в штатных репах. Все работает.

fedora/centos - freeipa в штатных репах.

Не спорю, просто привык под словом «красношапка» понимать и RHEL, и CentOS, и Scientific Linux, и OEL, и что там еще бывает. И, как мне кажется, beastie будет не в восторге от федоры на сервере.

Win клиентов у меня всего 3, и те уже почти что выведены из домена. Остальные 50+ — mac клиенты.

Т.ч. мне как бы нужен просто что-то AD-подобное, где можно удобно рулить пользователями.

А cifs на соряре хочет AD (samba4), с NT4 (samba3) он не дружит.

PS: если взлетит, то может и маки на домен переведу. Но это так, заметка на будущее, если взлетит.

Конечно не в восторге — и так зоопарк. ;)

Но с другой стороны, если вариантов совсем нет (и это самое грустное, что ничего нет), может быть и вариант.

Ну тогда может перевести шары на nfs+kerberos? Макось, пишут, умеет. Я думаю это будет проще, чем велосипедить.

А чтобы причесать, действительно можно использовать freeipa. Это если все из коробки хочешь.

На кой хер тебе простите самбовый DNS вообще? Ты можешь юзать любой. И да: dlz, у меня завёлся с полпинка, и работал прекрасно. И обновлял всё в bind прям через samba, но мне это не нужно, по сему отказался в пользу ddns классического. Короче samba4, то, что тебе подойдёт. И статей как включить linux/mac в АД овер дофига. У меня по крайней мере в домене samba4, линуксы болтаются более чем на ура...

Посмотри GOsa² и его деривативы.

Прочитал как Active Destroy.

Когда-то я его уже смотрел. Оно хочет свои собственные схемы в ldap, что не комильфо и с samba4 скорей всего не прокатит. Поэтому тогда и остановился на lam.

Мне он нужен только из-за автоматической привязки srv записей, которые в свою очередь смотрит solaris. Как это обойти, я уже в принципе придумал.

В общем, скорей всего будет всё же samba4. Теперь вопрос, как импортировать старых юзверей. classicupgrade ругается у меня благим матом. И ещё нужен linux-клиент для конфигурации — вот с этим имхо совсем плохо.

Я просто взял и сам насоздавал SRV записей в BIND, это нужно один раз, так что в целом не увидел проблем с этим. :)

Касаемо клиентов... - Был такой проект resara, это, то, что тебе бы пригодилось, у них был клиент для samba4 под linux. Быть можешь откопаешь deb пакеты, посмотришь чего. Но а в целом - samba4 рулится из консоли не плохо в целом. Но таки вообще да: samba4, это в первую очередь имплементация AD, а значит предполагает клиентов на Win, а там можно поставить ихнюю тулзу. Да. Уныло, но в целом, раз уж у тебя есть винды, то можешь оттуда подруливать. У тебя клиентов 50 штук... Это вообще не объём. Можешь и с консоли педалить. :)

samba+Kerberos+webmin

FreeIPA

Под мак тоже есть, Directory Utility зовётся. Идёт с системой. Но там при создании пользователя, почему-то, каждый атрибут ручками задавать надо. А может я ещё и не разобрался.

По поводу srv — там их с два десятка разных. Я скорей всего просто суб-домен на самба-сервер делегирую. Т.ч. это в принципе решено. Пусть оно там своё держит, а dhcp в другой суб-домен раздавать будет.

Т.к. тут очень FreeIPA советуют — покручу его тоже на виртуалке. Всё таки комплексное решение приветствуется. (Подустал я скотчем одно к другому приклеивать, хочется, что бы просто работало.)

Хочется чтобы просто работало? - Покупаем Windows! В твоём случае реально лицензионная винда будет стоить, 50к за дистриб, 100к за юзеров. - Итого 150к, и не надо никакого скотча. Нашли денег на 50+ маков, не ужели не найти 150к на винду? Ну и вообще кстати, для маков есть решение от паралелс именно для того, для чего ты ищешь, ты со своим доменом только юзерами сможешь на маками рулить..! Оно тебе надо реально?

Остальные 50+ — mac клиенты.

у яббла есть свое хорошее решение.

Теперь вопрос, как импортировать старых юзверей

Для синхронизации пользователей между openldap и AD я пользую lsc. Для единоразового экспорта тоже пойдёт, если не хочешь руками конвертировать.

50+ — mac клиенты.

А cifs тебе тогда нахерамс? NFS+Kerberos, как уже выше отметили будет лучше смотреться. Можно ещё совсем по канонам что бы было - NIS поднять. И вообще, os x server стоит 20 рупий, там и directory utility есть.

150К, по сути, только за сомнительное удобство управления пользователями, которое само по себе надо поддерживать. А потом EOL и по новой покупать. К тому же МС теперь не дает бумажек и появляются инциденты с проверками (спасибо 4й части ГК).

Бумажки на фиг не нужны никому эти, правильно что перестали давать, всегда в бухгалтерии можно поднять счёт-фактуру, но и этого делать в реале мне не приходилось. Да проверки от Майкрософт есть, и неоднократно я их уже проходил, без бумажек. Не надо мандить. EOL..? Да у серверных версий Win, поддержка 10-15 лет. Топикстартеру, AD не особо подходит, ему нужен более высокоуровневый продукт для руления MacOS, и такой продукт есть, от паралелс.

всегда в бухгалтерии можно поднять счёт-фактуру,

«перерегистрация» и привет

Да проверки от Майкрософт есть

Да и хер с ними, речь о других проверках. А вот им может быть плевать на мнение правообладателя - собственно это и есть проблема 4й части ГК.

Мне он нужен только из-за автоматической привязки srv записей, которые в свою очередь смотрит solaris. Как это обойти, я уже в принципе придумал.

Делюсь опытом по поводу DNS. У меня в универе AD на виндах, а DNS - на Линуксе(BIND). Встал вопрос - либо при введении нового контроллера домена плясать с бубном, выцепляя нужные SRV-записи, либо таки прикрутить «безопасные динамические обновления» (c) Microsoft

Которые по сути те же самые динамические обновления, только с авторизацией по Kerberos.

В итоге, покурив маны, создал пользователя в AD, сгенерил для него открепленный keytab на винде, закинул на первичный DNS-сервер и радуюсь :-)

Я просто взял и сам насоздавал SRV записей в BIND, это нужно один раз, так что в целом не увидел проблем с этим. :)

У меня лес состоит не из одного домена, периодически появляются новые контроллеры, а каждый раз плясать с бубном вокруг SRV, когда в филиале захотят новый контроллер - утомляет. Особенно если это можно автоматизировать.

При этом, вводить сам DNS-сервер в Active Directory(читай «ставить на него самбу») - абсолютно не обязательно, несмотря на то, что пишут в некоторых статьях.

Да и хер с ними, речь о других проверках. А вот им может быть плевать на мнение правообладателя - собственно это и есть проблема 4й части ГК.

В таком случае открытое ПО, ничего не гарантирует тоже.

Ну в случае ТС этого просто не нужно. Ему вообще не особо подходит AD.

А как ты скрестил AD + BIND? Там в настройках можно ему выставить адрес DNS сервера? И он будет приходить туда по kerberos?

Там в настройках можно ему выставить адрес DNS сервера? И он будет приходить туда по kerberos?

Кому «ему»? Контроллеры домена шлют апдейты на адреса DNS-серверов, прописанных на сетевых интерфейсах(если это корневой домен), ну или выясняют у этих DNS-ов адреса серверов леса(если дочерний домен) и шлют апдейты туда.

Клиентским компьютерам DDNS мне без надобности - у нас там жёсткая политика на этот счёт, но при желании можно было и его настроить. Поэтому ACL-ями(в терминах bind это update-policy, а не acl, но не суть) разрешено только определенным Kerberos-клиентам обновлять относящиеся к Active Directory зоны(_msdcs и прочие).

Статья по теме

P.S. Маленькое уточнение к статье - форсировать DES абсолютно НЕ НУЖНО. Что 2003 R2, что более новые сервера прекрасно могут использовать более новое и более безопасное шифрование. Более того - новый mit-krb5 по умолчанию не разрешает DES, считая его небезопасным(что логично)

Спасибо за ссылку! Я просто может спрашиваю тупые вопросы, ибо я никогда не видел Active Directory... Никогда. Я всегда работал только с samba3/4 (6 лет).

AD это единственный их качественный продукт.

Разумеется, но оно при этом стоит существенно меньше. А если нет разницы...

Да я боюсь что между настоящим AD, и samba4, разница как бы более чем нулевая. :(

Кстати, спасибо, что напомнил. В наличии есть osx server. Совсем про него забыл. Гляну.

незачто =) расскажи потом историю успеха.

Всё очень грусно и печально. Постепенно начинаются опускаться руки.

Самбу я кое-как завёл, солярку подключил. Вроде работает. Но. Дело осталось за малым — фронтэнду ко всему этому делу. И вот тут то опять всё совсем плохо.

LAM мне ещё завести не удалось, RSAT требует винды, Domain Utility слишком примитивна, а под Linux вообще совсем ничего нет.

To be continued…

а под Linux вообще совсем ничего нет.

есть некий phpldapadmin

De facto это то же, что и domain utility. Т.ч. тоже не комильфо.

Это ты про маковский сервер ?

И с маком не радужно. Нашёл таки нужную тулзу: http://support.apple.com/kb/dl1698 но и она уже заброшенна.

Что бы её посавить на 10.10.1 пришлось мухлевать с /System/Library/CoreServices/SystemVersion.plist (прикинуться более старой версиеей). Но таки завилась. (Вопрос, как долго оно работать будет.)

По ходу дела всё так грустно, что я даже не знаю, что делать.

Неужели это совсем никому не нужно??? В чётровом opensource всё пердит и срекает! Бутится за микросекунды. А такого вот нужного и важного, как центральное управление пользователями, днём с огнём не сыщишь!!! Мать его за ногу!

389ds или freeipa