logo
05.03.2021 10:42
1
Jě několik způsobů, jak udělat náhradu za Microsoft Active directory (myšleno všechny služby kromě GPO). Kdy náhradou za DC se rozumí substituce těchto služeb konkrétně:
  • kerberos
  • realm
  • samba4
  • openLDAP

Taková nejpopulárnější řešení ve světě linuxu jsou:
  • FreeIPA + pGina
  • UCS
  • Zentyal
  • openLDAP

Všechna tato řešení mají jedno společné - jsou osina pro deployment. Mně proto zajímá, komu se povedlo s co nejmenší bolestí rozběhnout substituci za DC pro potřebu náhrady Windows Active Directory a to tak, aby bylo možno provést autorizaci jak Windows endpointů vůči DC (což úplně bezproblémově zvládá Zentyal ale na FreeIPA je to neřešitelný problém) a současně i Debian serverů (což parádně zvládá freeIPA ale nezvládá to vůbec Zentyal).

Jinými slovy cíl je - mít jedno řešení, do kterého umístím jak Windows mašiny tak Linux mašiny a budu schopen třeba přes to hromadně dělat správu user profiles (CRUD).
Jak jste se s tímto poprali vy?
05.03.2021 11:26
2
Micorsoftí implementace Domain Controlleru neumí aturizovat Debian servery?
05.03.2021 12:29
3
MS AD umí pracovat s debian servery, jen se musí trochu pohlídat jmenná konvenci v SPN, prauth pravidla, posix classy, ve většina prostředí to technicky lze, formálně ale již často nikoliv.

Pokud jde o autorizaci, tak windows + linux (a mac os) lze dobře zajistit přes FreeIPA, Zentyal nebo ručně přes MIT Kerberos (ten mám rád protože umí IAKERB a pak lze zajistit fungování s GSSAPI) + OpenLDAP. Můžeš být konkrétní s čím jsi měl problémy? Podmínka "bezbolestně" je nehmatatelná, pokud s tím nemáš zkušenost, budeš trpět i u MS AD, když s tím 20 let pracuješ, připadá ti ldap adresář logický a kerberos/spnego jako růžová zahrada.

Můžeš být konkrétní, které funkce potřebuješ na Windows? Application deployments? Automont network drives? Firewall/network configuration? Registry/System tunning? (sorry, překlady mi připadají krkolomné a pracuji primárně v aj). Ano, FreeIPA umí jen přes kerberos autorizovat stanici, pGina dokáže přihlásit přes ldap uživatele do stanice, a co dál přesně k tomu potřebuješ?

Substituce nám běží ledaskde, většinou v menších společnostech, které nemají peníze na MS produkty, ale největší bolest je právě co vše to má dělat, MS AD je příliš mocný. Pokud chceš všechny služby, tak ti s open source asi neporadím, svět MS je v tomhle příliš uzavřený, protokoly (viz třeba jejich MS-KKDCP místo open source IAKERB) má ohnuté a dostatečně nedokumentované a bez jejich řadiče může dělat jen některé bezbolestně, jinak se ti to bude při aktualizacích výrazně rozbíjet a už jen ty aktualizace nedokážeš bez AD hromadně spravovat, takže se ti stanice rozsypávají bez problémů sami.

V bankách je standardní řešení, kdy je použitý MS AD, ať už jako primární IDM nebo jako sekundární pouze pro stanice. Poté přes trust (nebo pouze přes ldap reference) je vše spojeno s linux světem, na druhé straně pak leží cokoliv z tebou jmenovaných, jen musíš zajistit synchronizaci, to je ale většinou menší problém. MS poslední dobou hodně tlačí svoje ADFS místo trustů, což je věc, která jde úplně proti linuxu.

Osobně bych doporučil vzít nějaký MS AD a do něj synchronizovat stav z tvého DC, který je pak plně kompatibilní s linux/macos (POSIX). Docela se mi osvědčilo právě AD v Azure, když nechci platit spousty peněz za licence. Stejné to platí i pro mac os, lepší je koupit jejich SW na hromadnou správu stanic a stanice napojit na společné IDM (naštěstí podporují POSIX a dát se to lépe implemetovat než Win). To je za mě bezbolestné řešení, v opačné případě lze pečlivě analyzovat co od toho budeš přesně chtít za funkce a nacenit jednotlivé funkce samostatně, pak si můžeš vybrat, co se nevyplatí.