freeipa, ad и прочее

0

3

Всем привет!

Понимаю, что вопрос уже всех порядком задрал, но все-таки прошу совета.

На предприятии будет 20+ рабочих машин и 20+ серверов, сервера все на linux-е, а рабочие машины смешанные. Необходимо обеспечить централизованное управление пользователями и прочей инфраструктурой (обновления, обновление конфигурации).

Из того, что очевидно — нужен ad для виндовых машин. Но что хорошо для linux-овых? Нашел freeipa, но он предполагает становится еще одним доменом рядом с ad в режиме доверия. Как я понял есть samba4, но оно помогает прицепить линуксовые машины к домену и реализует контроллер домена. Для централизованного управления серверами, как я понял, можно использовать ansible.

Что посоветуете? Стоит ли возиться с freeipa? Или джойнить машины в ad через samba4 ?

Ссылка

←	Домашний linux-сервер

Не могу удалить пакет

→

полного функционала ад для линуксов нет.
виндовозы в актив директори, для линуксов фриипа.

Нашел freeipa, но он предполагает становится еще одним доменом рядом с ad в режиме доверия.

не очень то в это верится.

dada ★★★★★
(19.02.15 11:41:45 MSK)

Ответ на: комментарий от dada 19.02.15 11:41:45 MSK

не знаешь ничего — не трынди, набивай скор в новостях и картинках

anonymous
(19.02.15 11:49:46 MSK)

Ссылка

можешь заставить свои линуксовые машины получать учётки из AD через sssd, не через самбу четыре, а заставить управлять конфигурацией можно через привычные puppet-chef-ansible.

freeipa это только управление аутентификацией и авторизацией, для твоих задач оно чересчур громоздко.

anonymous
(19.02.15 11:56:01 MSK)

Когда-то делал на OpenLDAP перемещаемые между Windows/Linux-машинами профили пользователей (с правильным мёржем их настроек). Что касается обновления/установки ПО на Linux-машины и управления локальными пользователя, то я бы решал это набором скриптов, которые бы работали по SSH и не парился бы. Зачем усложнять то, что и так просто сделано?

Y ★★
(19.02.15 12:26:37 MSK)

Ссылка

Ответ на: комментарий от anonymous 19.02.15 11:56:01 MSK

а будет ли работать доступ к расшаренным ресурсам?

чтобы линуксоиды могли цепляться к виндовым шарам и наоборот?

или для этого нужно с самбой заморочится?

ien ★
(19.02.15 12:47:36 MSK) автор топика

Ответ на: комментарий от ien 19.02.15 12:47:36 MSK

если будешь ставить на линуксы самбу, которую будешь включать в ад, то виндусные пользователи смогут получать к ней доступ с аутентификацией керберосом, в обратную сторону, когда пользователь аутентфицируется через sssd в ад и хочет на вантузный самборесурс, тоже должно работать, но я не проверял. Есть одно вселенское ограничение: для безопасности твоей конторы нельзя дозволять пользователям иметь на рабочих местах файлосерверы, потому заведи выделенный сервер для файлов, настрой его мониторинг и резервное копирование.

anonymous
(19.02.15 13:05:16 MSK)