Ansible, HCV и AD: как автоматизировать ввод Linux-серверов в домен без рисков по ИБ

[fututu]

Почему ntp, а не chrony?

[agseyn]

В целом можно использовать для этой задачи и ntp и chrony, вопрос скорее привычки и потребности в расширенном функционале chrony (в моей среде он не требуется)

[Twimer4]

Скажите, а какие плюсы заводить линуксовые сервера в домен? Если только для использовать существующих АД пользователей, то тут можно обойтись просто sss демоном, который имеет доступ чтения в АД.

[agseyn]

В моём случае это необходимо потому, что:

• Через службу каталогов работает часть функционала инвентаризации активов;

• Я применяю объекты групповой политики к серверам через ADSys для запуска startup-скриптов (но на самом деле применения у модуля масса, в том числе контроль доступа и управление привилегиями sudo);

• Некоторые сервисы, в которых реализована поддержка Kerberos-аутентификации - требуют наличия у учётной записи компьютера SPN-записи, что невозможно без его ввода в домен;

• Можно настроить autoenrollment сертификатов через AD CS;

• Можно получать доступ к другим ресурсам в домене (например, сетевым папкам) без дополнительного ввода пароля, при наличии действующего билета Kerberos.

Если в вашем случае необходима только доменная аутентификация на серверах - можно не вводить их домен, и ограничиться только настройкой sssd и сопуствующих служб и модулей ОС.

[MEGA_Nexus]

А зачем делать вот это:

Stop NTP service before manual time sync

И как вообще будет синхронизироваться время, если служба синхронизации времени не запущена?

Может быть лучше сделать её рестарт и уже потом запустить синхронизацию времени?

[agseyn]

Для предотвращения конфликтов доступа к сетевому порту 123/udp и системным часам при ручной синхронизации времени через ntpdate