Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Универсальная авторизация для гетерогенной сети  (Прочитано 1255 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн apb

  • Автор темы
  • Новичок
  • *
  • Сообщений: 22
    • Просмотр профиля
Приветствую.
Ситуация: наследие, полученное мной по приходу на новое рабочее место - это gentoo 5-летней давности. Клиентов я пересадил на ubuntu, попутно чуть переправив моменты, что мешали работать.
В качестве универсальной морды на сервере, куда перенес пока dns и dhcp (ибо старые имели интересности исторически сложившиеся, которые тащить нет смысла) и ... встал вопрос о том, что использовать для авторизации в сети.
Сейчас ldap и его бы перетянуть, но есть и win-системы в сети, мало, но есть. Полностью отказаться от них никак. И сейчас перед выбором стою: LDAP+kerberos (и на win-клиенты вешать керберос-клиент), 389-ds/freeIPA или sambaAD.
И рассматриваю я эти вариантысо следующей точки зрения:
LDAP+krb - там минусом является,что krb-клиент не создает "новую учётку" в системе. (отсутствие GPO заменяем скриптами, чтоб хост стучался на сервер и проверял версию файла - тут богатый опыт ранее c sambaPDC и сеткой на 300 пк). Плюсом - мало win-систем. И хочу запихать в единую web-морду всё. Webmin странный, но для данной сети - можно с ним попрактиковаться.
389/freeIPA - они вместе, ибо родственные, но вот преимущества какие? По мне - так тот-же openLDAP, а авторизации прямой win-систем там так и нет (не нашёл упоминания об этом) и в единую морду к webmin пока не понимаю как его подсоединить.
sambaAD - толсто очень при малом числе win-клиентов, но пускает в себя win и также lin ибо имеет внутри себя тотже LDAP. Но там много вещей, которые на такую сеть не нужны и тяжелее чем LDAP. И в webmin его (именно sambaad а не samba подключить ... :-/)
Конечно можно LDAP+samba, но win10 туда не ввести.

Вопрос: Что делали и почему, или что считаете оптимальным и в связи с чем?

З.Ы. За вебмин не пинать - давно хотел его поюзать "в работе" а не "в лабораторных условиях". Да, в конфигах проще, но ... (=
 

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28402
    • Просмотр профиля
LDAP сейчас в каком именно виде?

Webmin странный
Он не странный, он для тех, кто знает, что делает.
И по большому счёту не нужен.
sambaAD - толсто очень при малом числе win-клиентов
Не смешно. У меня три клиента и Samba AD зашла только в путь. Это кажется, что клиентов три - ты не клиенты считай, ты считай сервисы. И умножай на количество клиентов. VPN (два!), RDP/VNC - три, postfix - четыре, файлсервер - пять, вебсайт - шесть, облако - семь. Семь на три? Верно, 21. Везде сквозная авторизация в AD через LDAP, либо через PAM.

На линуксовых машинах авторизация напрямую через winbindd. Везде сквозные UID/GID, никаких костылей SSSD.
« Последнее редактирование: 28 Августа 2022, 01:19:57 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн apb

  • Автор темы
  • Новичок
  • *
  • Сообщений: 22
    • Просмотр профиля
LDAP сейчас в каком именно виде?
LDAP+krb+samba

И по большому счёту не нужен.
+

Не смешно. У меня три клиента и Samba AD зашла только в путь.
40 хостов в сети, из них 4 компа win и один терминал-сервер на win7 для работы с MS Word на котором иногда работают 3 человека. Ситуация больше к ldap чем к samba. И на будущее при миграции на какие-то системы - ldap универсальное решение.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28402
    • Просмотр профиля
AD и есть LDAP в первую очередь.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.053 секунд. Запросов: 25.