valvalva Apr 28 2023 at 15:59

Cамое простое решение для Kerberos сервера на замену Microsoft AD?

Medium

3 min

10K

Configuring Linux*Information Security*

Tutorial

Comments 7

sshikov Apr 28 2023 at 19:04

Возможно я что-то упустил, так как текст читал по диагонали, но ведь ванильный керберос вроде как замена не MS AS, а лишь одной его части, собственно KDC. А LDAP как-же? И почему все-таки выбрали такое решение, а не скажем FreeIPA?

valvalva Apr 29 2023 at 05:59

Спасибо за вопрос, не стал упоминать в тексте, но исторически, в качестве центра управления пользователями, у нас используется LanBillig (со всем необходимым GUI) у которого, среди прочих агентов, имеется Communigate (c LDAP, в том числе), а теперь добавился герой повествования - MIT Kerberos. Про FreeIPA, не совсем понятна его ЦА, поскольку, если в компании уже есть работающая инфраструктура Microsoft AD и требуется ипортозаместиться, то проще перевести все на Samba4. С другой стороны каких-то аналогов AD GPO в документации FreeIPA не обнаружилось (поправьте, если это не так) вот и решили не плодить «лишние сущности». Наверное, FreeIPA хорош для тех, кто начинает с «чистого листа»

sshikov Apr 29 2023 at 11:11

А, ну я вроде понял. Просто вы не очень подробно описали, что имеется, если у вас уже есть AD, то логично что вам LDAP и не нужно. Я не сильно большой спец по IPA, но кажется мне, что групповых политик там и нет, то есть это скорее хранилище с доступом по LDAP, и к нему некая кучка плагинов, решающих конкретные вопросы, типа подключения/заведения пользователей. Ну то есть вы можете туда заводить рабочие станции, пользователей, группы и пр, но что вы с ними будете делать — это все самостоятельно.

Наверное, FreeIPA хорош для тех, кто начинает с «чистого листа»

У нас оно как база для хадупа. Не то чтобы с чистого листа, а скорее готовое решение к специального назначения кластеру из линукс машин. GPO есть, реализованная на коленке.