Спасибо за вопрос, не стал упоминать в тексте, но исторически, в качестве центра управления пользователями, у нас используется LanBillig (со всем необходимым GUI) у которого, среди прочих агентов, имеется Communigate (c LDAP, в том числе), а теперь добавился герой повествования - MIT Kerberos. Про FreeIPA, не совсем понятна его ЦА, поскольку, если в компании уже есть работающая инфраструктура Microsoft AD и требуется ипортозаместиться, то проще перевести все на Samba4. С другой стороны каких-то аналогов AD GPO в документации FreeIPA не обнаружилось (поправьте, если это не так) вот и решили не плодить «лишние сущности». Наверное, FreeIPA хорош для тех, кто начинает с «чистого листа»
Про "таскать", всё же такой скейт очень удобный, когда в чехле, вообще никто не замечает, в маршрутке у ноги помещается и места не занимает. Кататься, да, не просто, но привыкнуть можно. Компромисс
Нет причин для регистрации рабочих станций Linux в домене Microsoft или керберос сфере, это позволяет не указывать их в DNS, короче, с рабочими станциями проще)
Тупыми бывают только ответы) Вопросы - это всегда хорошо! Попробую ответить так, надо начать с составления списка того, что нужно пользователям и как им это предоставить, соблюдая требования безопасности. Hапример - использовать один логин и пароль на все сервисы и на любом компьютере предприятия, авторизованный доступ в интернет, без необходимости еще раз вводить пароль, свой рабочий стол на любом компьютере предприятия, общие файловые шары для групп пользователей, возможность легко менять конфигурацию рабочих станций согласно задачам отделов, и так далее. Имея такой список можно подбирать решения, и согласен с Виталием, Unix-way позволяет из небольших компонентов, делающих что-то одно, собрать любое сложное комплексное решение. Противоположный и тоже, по своему хороший подход - Microsoft AD - есть сразу все, что нужно, но только в мире Windows
Мы на предприятии попробовали все варианты, в том числе и realmd/sssd, остановились на этом. Ансиблу, конечно, все равно, но плейбук получается короче :) И работает не только с AD
Для серверов в домене просто прописываем в DNS записи A и PTR, для рабочих станций в этом нет необходимости. FQDN рабочих станций (без прописывания его в DNS) используем для назначения им нужной конфигурации (через ansible), это другая задача и другая статья
У нас на предприятии домен не Active Directory. Инструкция, кстати, хорошая, но про сервера "how to join a SQL Server Linux host machine to an Active Directory domain" с рабочими станциями проще
Спасибо, за комментарий, действительно синхронизация времени очень важна, а вот FQDN, в данном случае, не играет роли, как и остальное ПО (можно проверить экспериментально). Если эта статья зайдет, продолжу описание решения нашего предприятия, там и правильный FQDN пригодится!
Да, все так, и у нас на предприятии уже развернуто решение (mit kerberos + ansible-pull + gitlab). Эта статья, небольшой его фрагмент, напишу остальное, если "зайдет" эта часть
Нет, тут, к сожалению, не получится, не отработает pam_krb5, а с точки зрения pam_unix учетная запись заблокирована. Но ваш вопрос навел на мысль, что можно, например, при создании учетной записи, таки назначить ей локальный пароль, тогда да, будет можно логиниться доменной учеткой без доступа к домену. Но тогда надо обязательно решать вопрос с удалением локальных учеток, при удалении их в домене.
Кстати, действительно, отличный аргумент добавить Ansible. Всегда нравились статьи не "Давайте изучим Docker" а "Давайте увидим, как Docker упростит нам решение задач"
Спасибо за вопрос, не стал упоминать в тексте, но исторически, в качестве центра управления пользователями, у нас используется LanBillig (со всем необходимым GUI) у которого, среди прочих агентов, имеется Communigate (c LDAP, в том числе), а теперь добавился герой повествования - MIT Kerberos. Про FreeIPA, не совсем понятна его ЦА, поскольку, если в компании уже есть работающая инфраструктура Microsoft AD и требуется ипортозаместиться, то проще перевести все на Samba4. С другой стороны каких-то аналогов AD GPO в документации FreeIPA не обнаружилось (поправьте, если это не так) вот и решили не плодить «лишние сущности». Наверное, FreeIPA хорош для тех, кто начинает с «чистого листа»
Здравствуйте! Расскажите про dagsnap, ну и прочие подробности, какими командами пользовались?
Да, тут лучше выбирать, кто сегодня едет на работу, скейт или ноутбук)
Про скорость, по моим замерам от 10 до 12 км/ч, если не ставить рекорды
5-й пункт резковат), но, кстати, собаки да, часто реагируют неадекватно, вероятно скейтбордистов видят реже велосипедистов и не привыкли к такому
Про "таскать", всё же такой скейт очень удобный, когда в чехле, вообще никто не замечает, в маршрутке у ноги помещается и места не занимает. Кататься, да, не просто, но привыкнуть можно. Компромисс
Да, есть и такой, хороший вариант, если ездить на машине до перехватывающий парковки
Защита обязательно! На руки, как минимум
Нет причин для регистрации рабочих станций Linux в домене Microsoft или керберос сфере, это позволяет не указывать их в DNS, короче, с рабочими станциями проще)
Тупыми бывают только ответы) Вопросы - это всегда хорошо! Попробую ответить так, надо начать с составления списка того, что нужно пользователям и как им это предоставить, соблюдая требования безопасности. Hапример - использовать один логин и пароль на все сервисы и на любом компьютере предприятия, авторизованный доступ в интернет, без необходимости еще раз вводить пароль, свой рабочий стол на любом компьютере предприятия, общие файловые шары для групп пользователей, возможность легко менять конфигурацию рабочих станций согласно задачам отделов, и так далее. Имея такой список можно подбирать решения, и согласен с Виталием, Unix-way позволяет из небольших компонентов, делающих что-то одно, собрать любое сложное комплексное решение. Противоположный и тоже, по своему хороший подход - Microsoft AD - есть сразу все, что нужно, но только в мире Windows
Отличное название для следующей статьи! Принято в работу)
Мы на предприятии попробовали все варианты, в том числе и realmd/sssd, остановились на этом. Ансиблу, конечно, все равно, но плейбук получается короче :) И работает не только с AD
Для серверов в домене просто прописываем в DNS записи A и PTR, для рабочих станций в этом нет необходимости. FQDN рабочих станций (без прописывания его в DNS) используем для назначения им нужной конфигурации (через ansible), это другая задача и другая статья
У нас на предприятии домен не Active Directory. Инструкция, кстати, хорошая, но про сервера "how to join a SQL Server Linux host machine to an Active Directory domain" с рабочими станциями проще
Спасибо, за комментарий, действительно синхронизация времени очень важна, а вот FQDN, в данном случае, не играет роли, как и остальное ПО (можно проверить экспериментально). Если эта статья зайдет, продолжу описание решения нашего предприятия, там и правильный FQDN пригодится!
Да, все так, и у нас на предприятии уже развернуто решение (mit kerberos + ansible-pull + gitlab). Эта статья, небольшой его фрагмент, напишу остальное, если "зайдет" эта часть
Нет, тут, к сожалению, не получится, не отработает pam_krb5, а с точки зрения pam_unix учетная запись заблокирована. Но ваш вопрос навел на мысль, что можно, например, при создании учетной записи, таки назначить ей локальный пароль, тогда да, будет можно логиниться доменной учеткой без доступа к домену. Но тогда надо обязательно решать вопрос с удалением локальных учеток, при удалении их в домене.
Кстати, действительно, отличный аргумент добавить Ansible. Всегда нравились статьи не "Давайте изучим Docker" а "Давайте увидим, как Docker упростит нам решение задач"
Да, так и планирую, следующая остановка ansible
Вот здесь, похожий пример рассматривается со всеми описаниями: https://youtu.be/FeD6VBY2Xss