L2TP ipSec psk, какой клиент посоветуете + вопрос по серверу авторизации

[Mikhail1]

Два вопроса:
1) Какой клиент посоветуете для подключения к VPN по L2TP ipSec с pre-shared ключом? По возможности - тот,с которым работали лично.

Второй вопрос с первым не связан.
2) Что посоветуете почитать на тему грамотной авторизации пользователей на на ПК под Ubuntu в "полноценной" (контроллер домена+ AD + kdc работающий по керберосу) виндовой сети?
Сейчас работает так, что они видят в сети терминальный виндовый сервер, подключаются к нему по rdesktop под своими виндовыми учетками, и уже работают на удаленном рабочем столе. Но хотелось бы, чтобы линуксовая машина сама авторизовалась в сети под соответствующим пользователем домена (т.е. получала бы билет от kdc), и дальше пользователь напрямую из убунты видел бы файловые сервера и мог бы заходить в те каталоги на них, на которые у него есть права - БЕЗ повторного ввода пароля. Идеальный вариант, чтобы существовал маппинг линуксовых пользователей и учеток в AD, т.е. чтобы когда на линуксовой машине залогинился пользователь A, та обратилась к линуксовому централизованному серверу авторизации, тот обратился бы kdc и получил бы билет, отправил бы его обратно на польщовательский ПК. Смысл в том, чтобы уйти от повторной авторизации, чтобы юзверь вводил пароль один раз при входе в систему - и все.

[AnrDaemon]

По 1. Для какой ОС?…
По 2. А сервер в домен заведён?…

[Mikhail1]

1. Ubuntu 16.04 и производные от неё.
2. Естественно, виндовый сервер, на котором файловая шара - в домене.

[AnrDaemon]

При чём тут виндовый сервер?…

[Mikhail1]

Ни одна из линуксовых машин не прописана в домене, в этом и вопрос.

[AnrDaemon]

Ну, что дальше делать - понятно?…

[Mikhail1]

Нет , непонятно. Прописывание пользовательских машин в домене само по себе проблему не решит, ldap из коробки работать не будет. Ведь от того, что машина в домене, линуксовый пользователь на ней не станет автоматически учётной записью в виндовой ad.

[AnrDaemon]

А почему у вас пользователи коннектятся с локальными записями?…
А почему вы тут нам мозги морочите и отнимаете время?
Лечите свою инфраструктуру.

[Mikhail1]

Почему с локальными ? А как ещё, ведь локальная база пользовательских профилей никак не про интегрирована с виндовой ad. Или вы что, хотите сказать , что Ubuntu может читать виндовую ad? Мануал - в студию.

[AnrDaemon]

[Mikhail1]

AnrDaemon, я понимаю, что Вам моё невежество кажется смешным, но все же был бы благодарен, если бы Вы снизошли и растолковали, как Вы видите в общих чертах заведение линуксовых машин в домен и авторизацию пользователей при логоне в линуксовой магазине напрямую у виндового (!) контроллера домена.

[AnrDaemon]

На картинку кликните.

[Mikhail1]

Почитал. Спасибо. У меня 320 машин. Этот ад проводить на каждой из них....

[AnrDaemon]

Какой ад?… Это занимает 15 минут на одной машине и 2-3 на последующих.
Поставить Самбу из репов, настроить керберос (у вас он видимо УЖЕ настроен), добавить машину в домен, проверить разрешение имён.
Дальше тупо клонирование конфигов и net ads join.