Comments 7
Возможно я что-то упустил, так как текст читал по диагонали, но ведь ванильный керберос вроде как замена не MS AS, а лишь одной его части, собственно KDC. А LDAP как-же? И почему все-таки выбрали такое решение, а не скажем FreeIPA?
Спасибо за вопрос, не стал упоминать в тексте, но исторически, в качестве центра управления пользователями, у нас используется LanBillig (со всем необходимым GUI) у которого, среди прочих агентов, имеется Communigate (c LDAP, в том числе), а теперь добавился герой повествования - MIT Kerberos. Про FreeIPA, не совсем понятна его ЦА, поскольку, если в компании уже есть работающая инфраструктура Microsoft AD и требуется ипортозаместиться, то проще перевести все на Samba4. С другой стороны каких-то аналогов AD GPO в документации FreeIPA не обнаружилось (поправьте, если это не так) вот и решили не плодить «лишние сущности». Наверное, FreeIPA хорош для тех, кто начинает с «чистого листа»
А, ну я вроде понял. Просто вы не очень подробно описали, что имеется, если у вас уже есть AD, то логично что вам LDAP и не нужно. Я не сильно большой спец по IPA, но кажется мне, что групповых политик там и нет, то есть это скорее хранилище с доступом по LDAP, и к нему некая кучка плагинов, решающих конкретные вопросы, типа подключения/заведения пользователей. Ну то есть вы можете туда заводить рабочие станции, пользователей, группы и пр, но что вы с ними будете делать — это все самостоятельно.
Наверное, FreeIPA хорош для тех, кто начинает с «чистого листа»
У нас оно как база для хадупа. Не то чтобы с чистого листа, а скорее готовое решение к специального назначения кластеру из линукс машин. GPO есть, реализованная на коленке.
Наш вариант "на коленке" https://habr.com/ru/articles/732736/ :)
Я очень давно (лет семь) не отслеживаю развитие самба, но в то время это было очень сырое решение.
ЕМНИП, в частности, отсутствовала репликация SYSVOL.
Как сейчас с этим?
Предлагают использовать rsync (https://wiki.samba.org/index.php/SysVol_replication_(DFS-R))
Cамое простое решение для Kerberos сервера на замену Microsoft AD?