LINUX.ORG.RU
ФорумTalks

групповые политики AD это UNIX way или нет?

 , ,


0

1

Всем привет!

В свете последних событий приходится думать о переезде с оффтопика на онтопик. В связи с этим, хотелось бы, чтобы этот переход был по возможности плавным, кроссплатформенным, а также сохранить преемственность IT-архитектуры.

Как можно сделать так, чтобы мигрироваться с Windows AD на GNU/Linux AD с минимальными потерями?

Как при этом админить? политики останутся, или лучше заменить их чем-то более юниксовым, типо Ansible?

Ну и вопрос, озвученный в теме, не даёт покоя, конечно же: если оставить AD с его групповыми политиками, то что-то мне подсказывает, что это будет уже не совсем GNU/Linux.

★★★★★

Как можно сделать так, чтобы мигрироваться с Windows AD на GNU/Linux AD с минимальными потерями?

Насколько мне известно, хорошей альтернативы AD нет.

dada ★★★★★
()

это будет уже не совсем GNU/Linux

Это не важно.

мигрироваться с Windows AD на GNU/Linux AD с минимальными потерями

Много читать про выбранную тобой замену AD. Но потери будут в любом случае. Полноценной замены AD нет под Linux.

Как при этом админить?

Когда у меня была задача управлять парком рабочих станций под Linux, то я выбрал Ansible (собственно тогда начал только его изучать). Был некоторый опыт с Salt Stack и Puppet до этого. Правда у меня везде локальная авторизация, а управлять нужно только софтом, конфигами и обновлениями.

BOOBLIK ★★★★
()

Плотить деньги и переводить инфраструктуру на Astra ALD (astra linux domain). Там, в принципе, есть даже графический конфигуратор домена, добавлятор пользователей, управлятор группами и политиками и что там еще нужно в домене.

Или вручную пилить свою инфраструктуру на LDAP.

Xintrea ★★★★★
()

GNU/Linux AD

А оно такое вообще есть?

Из некоммерческих решений, насколько знаю, есть только средствами Samba всякое самодельное. Про то чтоб «политики» были как в венде вообще впервые слышу)

frunobulax ★★★
()

или лучше заменить их чем-то более юниксовым, типо Ansible? ом не

Людей, которые одновременно хорошо знают AD и линукс, кратно меньше, чем тех, кто знает хотя бы что-то одно. Поэтому проще сразу, на берегу перейти на Ansible и не мучиться с подбором-переобучением админов.

ugoday ★★★★★
()

Как можно сделать так, чтобы мигрироваться с Windows AD на GNU/Linux AD с минимальными потерями?

Заплатить денег интегратору. По крайней мере, вы точно будете знать, что потеряете.

Как при этом админить? политики останутся, или лучше заменить их чем-то более юниксовым, типо Ansible?

Групповые политики и Ansible — это разные вещи с разными возможностями и разными сферами применения. Используй и то и другое.

Ну и вопрос, озвученный в теме, не даёт покоя, конечно же: если оставить AD с его групповыми политиками, то что-то мне подсказывает, что это будет уже не совсем GNU/Linux.

MS AD не поддерживает напрямую RFC2307, но можно использовать samba в режиме резервного контроллера и реализовать расширения на нём.

Собственно, на первых порах, пока у вас будет смешанная инфраструктура, так и делают.

P.S. На вопрос в заголовке отвечать не буду.

Aceler ★★★★★
()

Раз пошла такая пьянка… Мне в одном учреждении понравилась такая штука, как возможность с любым аккаунтом в домене залогиниться на любой комп в домене (если юзеру это разрешено - некоторых ограничивают по количеству Логинов или машинам, на которые можно залогиниться). Как это реализовать вне АД?

Dorif ★★★
()
Ответ на: комментарий от Aceler

Ненене, нафиг замшелый и заброшенный ынтырпрацз, который зато юзался на Ъ юниксах. Вымер - туда и дорога.

Dorif ★★★
()
Ответ на: комментарий от Dorif

ак возможность с любым аккаунтом в домене залогиниться на любой комп в домене

Тут есть нюанс. На каждой машине свой раб.стол или это реализация универсального рабочего места, где бы не залогинился - везде твой раб стол и т.п.

Я видел реализацию универсального рабочего метста - мне понравилось, но не знаю как технически это было сделано.

Psilocybe ★★★★
()

А в Samba так и не запилили AD? Вроде пытались.

xwicked ★★☆
()
Ответ на: комментарий от Dorif

Как это реализовать вне АД?

Ставь любую из реализаций ldap и настраивай авторизацию через него. Хомку или любой сетевой каталог можно подключать через pam с соответствующими правами.

Если для офтопика, то и для него существует решение - pGina. Но имхо проще АД поднять.

einhander ★★★★★
()
Ответ на: комментарий от Psilocybe

Я видел реализацию универсального рабочего метста - мне понравилось, но не знаю как технически это было сделано.

Через nfs монтируется хомяк. Минус - нагрузка на сеть.

einhander ★★★★★
()
Ответ на: комментарий от Psilocybe

Ну, универсальное рабочее место - вообще збс, но мне и просто того, что я описал хватит.

Dorif ★★★
()
Ответ на: комментарий от einhander

Не, там были виртуалки, к которым ты подключался прозрачно, то есть комп (любой) загружается, спрашивает имя и пароль и хоп - ты в своем рабочем месте без лишних телодвижений . Запущенные программы оставались запущенными. Это всё под оффтопик.

Psilocybe ★★★★
()
Последнее исправление: Psilocybe (всего исправлений: 2)
Ответ на: комментарий от Psilocybe

Технически там хомяк монтируется по nfs с сервера в момент логина и размонтируется после.

Добро пожаловать в наш 1984, когда все это придумали )

Aceler ★★★★★
()
Ответ на: комментарий от Psilocybe

А, это называется vdi, и может быть реализовано десятком способов, например, vmware horizon или openuds из свободного.

Aceler ★★★★★
()
Ответ на: комментарий от Dorif

Если только для логина, то тебе должно хватить какого-нибудь pam_ldap.

thesis ★★★★★
()

...сохранить преемственность IT-архитектуры...

Это как?

По сабжу: вспомни, что такое этот ваш UNIX-way и решай на месте.

sparkie ★★★★★
()

GPO есть на Альте, пусть и не в полном объеме. По сути реализация gpupdate, но для Linux. И несовместимыми, отдельными admx.

https://www.altlinux.org/Групповые_политики

Для всего остального ansible-pull. Ну или push…

P.S. Без боли и страданий не получится всё равно. Что больше нравится, то и используй.

egzakharovich
()
Ответ на: комментарий от Aceler

Astra ALD - это FreeIPA.

Только у freeIPA все управление через консоль, а в ALD запилили графические тулзы, которые превращают UNIX-вей работу в умение понатыкать что нужно мышкой, как в AD от микрософта.

Xintrea ★★★★★
()
Ответ на: комментарий от Aceler

А, там веб-морда в наличии? А я искал User GUI и не находил, а надо было Web UI. Но в любом случае, в чистом виде freeipa вряд ли может поддерживать все те мандатные заморочки, которые сделаны в Астре. Точнее, вообще не может.

Xintrea ★★★★★
()
Ответ на: комментарий от Xintrea

Погоди, ты правда рулил FreeIPA через консоль? Вот это я понимаю, настоящий Unix way!

А так, это понятно, что мандатные заморочки в астре — это мандатные заморочки в астре. Кэп в восторге :-)

Также он просил добавить, что тогда и клиенты должны быть на астре.

От себя замечу, что если у тебя лицензия на астру — ставь ALD. Во всех остальных случаях ставь FreeIPA, нервы целее будут.

Aceler ★★★★★
()
Последнее исправление: Aceler (всего исправлений: 1)

Какие групповые политики у вас реально используются? 99% политик – это доступ к сетевым папкам. Не?

futurama ★★★★★
()
Ответ на: комментарий от Aceler

Я лично freeipa не рулил. Я из-за плеча смотрел, как рулили через консоль, сверяясь с внутренним документом. Там никакого Gui/WebUi небыло, только команды. Когда же лично ковырял ALD, я удивился что даже в начальных версиях практически все уже было с GUI.

От себя замечу, что если у тебя лицензия на астру — ставь ALD. Во всех остальных случаях ставь FreeIPA, нервы целее будут.

Походу, других вариантов и нет. Хотя, наверно, что-то у RedHat имеется за оверпрайс.

Xintrea ★★★★★
()
Последнее исправление: Xintrea (всего исправлений: 1)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)