групповые политики AD это UNIX way или нет?

Как можно сделать так, чтобы мигрироваться с Windows AD на GNU/Linux AD с минимальными потерями?

Насколько мне известно, хорошей альтернативы AD нет.

это будет уже не совсем GNU/Linux

Это не важно.

мигрироваться с Windows AD на GNU/Linux AD с минимальными потерями

Много читать про выбранную тобой замену AD. Но потери будут в любом случае. Полноценной замены AD нет под Linux.

Как при этом админить?

Когда у меня была задача управлять парком рабочих станций под Linux, то я выбрал Ansible (собственно тогда начал только его изучать). Был некоторый опыт с Salt Stack и Puppet до этого. Правда у меня везде локальная авторизация, а управлять нужно только софтом, конфигами и обновлениями.

И это хорошо.

Плотить деньги и переводить инфраструктуру на Astra ALD (astra linux domain). Там, в принципе, есть даже графический конфигуратор домена, добавлятор пользователей, управлятор группами и политиками и что там еще нужно в домене.

Или вручную пилить свою инфраструктуру на LDAP.

GNU/Linux AD

А оно такое вообще есть?

Из некоммерческих решений, насколько знаю, есть только средствами Samba всякое самодельное. Про то чтоб «политики» были как в венде вообще впервые слышу)

https://wiki.astralinux.ru/pages/viewpage.action?pageId=36078148 Тут описаны возможности linux ad.

или лучше заменить их чем-то более юниксовым, типо Ansible? ом не

Людей, которые одновременно хорошо знают AD и линукс, кратно меньше, чем тех, кто знает хотя бы что-то одно. Поэтому проще сразу, на берегу перейти на Ansible и не мучиться с подбором-переобучением админов.

https://www.basealt.ru/alt-domain как вариант

Astra ALD - это FreeIPA.

Про то чтоб «политики» были как в венде вообще впервые слышу)

https://habr.com/ru/articles/753840/

Как можно сделать так, чтобы мигрироваться с Windows AD на GNU/Linux AD с минимальными потерями?

Заплатить денег интегратору. По крайней мере, вы точно будете знать, что потеряете.

Как при этом админить? политики останутся, или лучше заменить их чем-то более юниксовым, типо Ansible?

Групповые политики и Ansible — это разные вещи с разными возможностями и разными сферами применения. Используй и то и другое.

Ну и вопрос, озвученный в теме, не даёт покоя, конечно же: если оставить AD с его групповыми политиками, то что-то мне подсказывает, что это будет уже не совсем GNU/Linux.

MS AD не поддерживает напрямую RFC2307, но можно использовать samba в режиме резервного контроллера и реализовать расширения на нём.

Собственно, на первых порах, пока у вас будет смешанная инфраструктура, так и делают.

P.S. На вопрос в заголовке отвечать не буду.

Век учи — век живись!

Раз пошла такая пьянка… Мне в одном учреждении понравилась такая штука, как возможность с любым аккаунтом в домене залогиниться на любой комп в домене (если юзеру это разрешено - некоторых ограничивают по количеству Логинов или машинам, на которые можно залогиниться). Как это реализовать вне АД?

Ну поставь FreeIPA.

А если хочется True™ Unix® Way, то поставь NIS.

Звучит прям как то, что надо! Спасибо!

Ненене, нафиг замшелый и заброшенный ынтырпрацз, который зато юзался на Ъ юниксах. Вымер - туда и дорога.

ак возможность с любым аккаунтом в домене залогиниться на любой комп в домене

Тут есть нюанс. На каждой машине свой раб.стол или это реализация универсального рабочего места, где бы не залогинился - везде твой раб стол и т.п.

Я видел реализацию универсального рабочего метста - мне понравилось, но не знаю как технически это было сделано.

А в Samba так и не запилили AD? Вроде пытались.

Как это реализовать вне АД?

Ставь любую из реализаций ldap и настраивай авторизацию через него. Хомку или любой сетевой каталог можно подключать через pam с соответствующими правами.

Если для офтопика, то и для него существует решение - pGina. Но имхо проще АД поднять.

Я видел реализацию универсального рабочего метста - мне понравилось, но не знаю как технически это было сделано.

Через nfs монтируется хомяк. Минус - нагрузка на сеть.

Ну, универсальное рабочее место - вообще збс, но мне и просто того, что я описал хватит.

При 10-40 Г этернете - это не проблема.

Не, там были виртуалки, к которым ты подключался прозрачно, то есть комп (любой) загружается, спрашивает имя и пароль и хоп - ты в своем рабочем месте без лишних телодвижений . Запущенные программы оставались запущенными. Это всё под оффтопик.

Технически там хомяк монтируется по nfs с сервера в момент логина и размонтируется после.

Добро пожаловать в наш 1984, когда все это придумали )

А, это называется vdi, и может быть реализовано десятком способов, например, vmware horizon или openuds из свободного.

Если только для логина, то тебе должно хватить какого-нибудь pam_ldap.

...сохранить преемственность IT-архитектуры...

Это как?

По сабжу: вспомни, что такое этот ваш UNIX-way и решай на месте.

GPO есть на Альте, пусть и не в полном объеме. По сути реализация gpupdate, но для Linux. И несовместимыми, отдельными admx.

https://www.altlinux.org/Групповые_политики

Для всего остального ansible-pull. Ну или push…

P.S. Без боли и страданий не получится всё равно. Что больше нравится, то и используй.

Astra ALD - это FreeIPA.

Только у freeIPA все управление через консоль, а в ALD запилили графические тулзы, которые превращают UNIX-вей работу в умение понатыкать что нужно мышкой, как в AD от микрософта.

Только у freeIPA все управление через консоль

ШТА?

А, там веб-морда в наличии? А я искал User GUI и не находил, а надо было Web UI. Но в любом случае, в чистом виде freeipa вряд ли может поддерживать все те мандатные заморочки, которые сделаны в Астре. Точнее, вообще не может.

Погоди, ты правда рулил FreeIPA через консоль? Вот это я понимаю, настоящий Unix way!

А так, это понятно, что мандатные заморочки в астре — это мандатные заморочки в астре. Кэп в восторге :-)

Также он просил добавить, что тогда и клиенты должны быть на астре.

От себя замечу, что если у тебя лицензия на астру — ставь ALD. Во всех остальных случаях ставь FreeIPA, нервы целее будут.

Какие групповые политики у вас реально используются? 99% политик – это доступ к сетевым папкам. Не?

Я лично freeipa не рулил. Я из-за плеча смотрел, как рулили через консоль, сверяясь с внутренним документом. Там никакого Gui/WebUi небыло, только команды. Когда же лично ковырял ALD, я удивился что даже в начальных версиях практически все уже было с GUI.

От себя замечу, что если у тебя лицензия на астру — ставь ALD. Во всех остальных случаях ставь FreeIPA, нервы целее будут.

Походу, других вариантов и нет. Хотя, наверно, что-то у RedHat имеется за оверпрайс.