Централизованная аутентификация в среде с различными ОС

Мне, пожалуйста, централизованную аутентификацию. И чтоб подецентрализованнее.

samba успешно косплеит AD.

но в том же шапковом FreeIPA неужто нет репликации? Тот же OpenLDAP можно завести с репликацией (нескольких на один мастер по крайней мере).

samba успешно косплеит AD.

Да, в целом неплохо себя ведет для небольшой конторы. Но по моему, не умеет в репликацию, во всякие деревья-леса.

А зачем тебе деревья/леса на такие масштабы(10 машин в филиале)? Херачь по контроллеру(обычному, не R/O) в каждый филиал и всё.

Так а сайты AD чем не устраивают?

Полностью устраивают. Но на тек. момент разверуть АД не представляется возможным. Купить виндовс вроде уже нельзя.

А зачем тебе деревья/леса на такие масштабы(10 машин в филиале)? Херачь по контроллеру(обычному, не R/O) в каждый филиал и всё.

Вы сейчас говорите про дц ад на виндовой машине или о дц на самбе?

Я сейчас говорю вообще. В самбе поддержка леса мягко говоря не фонтан - но она тебе и не нужна. Одного домена с кучей контроллеров хватит за глаза - такое самба умеет.

Приветсвтую! Что подразумевается, под одним доменом и кучей контроллеров? Буду рад почитать. :)

Очень надо.

P.S. у меня samba на 500 человек, как один AD, если что. :)

Что подразумевается, под одним доменом и кучей контроллеров?

Ты сейчас шутишь, правда?! Это же основа: несколько контроллеров в одном домене, на случай если у тебя один накроется - чтобы авторизация продолжала работать!

https://www.howtoforge.com/tutorial/samba-4-additional-domain-controller-for-...

Нет, нет, я не шучу. Я знаю, что это можно делать, что это вроде как называется сайтами. - У меня очень старая samba, надо бы обновиться… Но, я пока не знаю как. - Вот думаю, может поставить что-то очень свежее, и втянуть просто все настройки из старой версии, в новую?

Я знаю, что это можно делать, что это вроде как называется сайтами

Сайт в терминологии AD - это не то. Сайты - это способ группировки контроллеров для уменьшения трафика репликации между ними.

У меня очень старая samba, надо бы обновиться…

Гайд что прислал я - он на samba 4.5. У тебя там что - CentOS 7 что ли?

Ага. У меня ubuntu 14.04. Которую я не выключал несколько лет уже даже, не говоря о чем-то другом. :) - Сотни пользователей, kerberos, огромное кол-во запросов и т.п. Сотни политик доменных.

• Вопрос такой: как лучше всего обновиться? - Я вот думаю, по Вашему гайду, если я подниму, с делаю реплику домена?

• Вопрос второй: если мне потребуется открыть доп. офис на 100 человек, как можно поступить в моем случае (не переходя на WinAD)?

ubuntu 14.04

Мощная некрофилия!

как лучше всего обновиться? - Я вот думаю, по Вашему гайду, если я подниму, с делаю реплику домена?

Подымаешь новый сервер на какой-нибудь Ubuntu 20.04/22.04, добавляешь вторым контроллером. Проверяешь что репликация прошла, отключаешь старый контроллер и проверяешь, что юзеры корректно авторизуются. После этого убираешь старый сервер окончательно.

Вопрос второй: если мне потребуется открыть доп. офис на 100 человек, как можно поступить в моем случае (не переходя на WinAD)?

Обеспечиваешь сетевую связность между доп. офисом и главным, подымаешь там новый контроллер.

Спасибо огромное. Вот, примерно так и хочу обновить samba. :)

Что же относительно связности офисов: вопрос такой, идея супер. Кроме одного момента: можно ли как-то сделать так, что бы с офиса, можно было через kerberos входить на ресурсы центрального офиса? :)

можно ли как-то сделать так, что бы с офиса, можно было через kerberos входить на ресурсы центрального офиса? :)

Если компы клиента и сервера будут введены в домен - у тебя уже будет kerberos. Естественно это вопрос правильной конфигурации клиента(sssd, pam, вот это вот всё). В некоторых дистрибутивах есть готовые GUI-утилиты для ввода клиента в домен. Для остальных обычно есть достаточно подробные мануалы.