Будут ли работать групповые политики AD для Linux машин?
Есть развернутый контроллер домена на Win2012R2, с установленными политиками, вроде подключение шар, создание ярлыков на рабочий стол, установка приложений, доступы.
Смотрим в сторону Ubuntu для рабочих станций. Сервера остаются на Win. Полностью от рабочих станций на Win отказаться не сможем, из-за специфичного ПО.
Понятно что базовая авторизация работать через AD будет, но как сделать применимость политик?
Многие думают, что групповые политики - такая мистическая универсальная хрень, которая универсальна и непреложна. Но это не так, для их поддержки конечная система должна явно иметь их поддержку. И далеко не всё можно поддержать вообще, не говоря уже о том, чтобы поддержать легко.
Например, представим себе, что есть групповая политика, запрещающая пользователю менять обоину на рабочем столе. Так вот, в Windows для этого штатный механизм явно проверяет, что обоину менять нельзя и запрещает её менять. Возможно, что при этом обои можно поменять через реестр? Не знаю, не знаю, но допускаю, что и в этом случае система следит за пользователем и не даёт ему это сделать.
Представим себе, что мы бы захотели распространять эту практику на Linux-системы. А как это сделать? Начнём с того, что в Linux существуют десятки Desktop Environment (DE), в некоторых из которых обои не предусмотрены вообще никак! А в тех, в которых предусмотрены, могут по-разному настраиваться, держать в разных местах конфиги... Плюс в Linux можно завести несколько десктопов (воркспейсов) и на каждом повесить свою обоину. Или настроить их рандомную ротацию.
До кучи, есть не только известные DE (KDE/GNOME/XFCE4/LXDE/WindowMaker итд итп) и редкоиспользуемые (типа OpenBox/E17/i3/fvwm2), никто вообще не требует использовать все компоненты одной DE одновременно. Например, в XFCE можно использовать оконный менеджер xfwm4, но оторвать и не запускать вообще его десктопную часть xfdesktop. Или вот например я исторически использую терминал Konsole от KDE, при том, что у меня XFCE.
При переходе на Linux надо не самые лютые практики винды пытаться воспроизводить, а решать задачи с учётом того, что это другая совершенно по-другому устроенная система.
Стоило наверное немного подумать головой, прежде чем задавать такой вопрос.
Групповая политика - это некое действие, выполняемое в некий момент. Вот например, GPO по установке корпоративного сертификата в корневые юзерского профиля. Она прекрасно работает на винде. Внимание, вопрос - куда она должна копировать сертификаты в линухе? ХЗ. Потому что даже если получить точку хранения сертификатов из свойств openssl - то банально может прав не хватить - в винде-то GPO выполняется с приоритетом системы :)
Или вот напримепр политика настройки настроек прокси :) которая всем юзерм выставляет одинаковые настройки прокси - куда она должна их выставить?
Здесь нужно садиться, брать список GPO и думать - нужно ли это вообще и если нужно - как это сделать.
Вот в том и дело что подумал и голову сломал, решил спросить у более опытных людей.
На примере 1С.
В принципе 1С можно обновлять с сервера, сам клиент может проверить себя и попросить обновить. (Правда старые версии не удаляет).
Решили с веба перевести на тонкий клиент, и что бы не бегать через GPO запустили. Все ок. Что делать если это нужно будет с linux машинами провернуть?
Ладно, тонкий клиент установили каким-то образом, нужно список баз подсовывать... опять же в зависимости от группы пользователей в AD?0
Или выдать список принтеров пользователю, в зависимости от его авторизации через AD?
Разумеется сижу дальше гуглю что там и как, и всплывают подобные вопросы с 2005 года, и темы типа установки PowerShell на Linux или SSH на Windows. Так что думаю не я первый вопросом задался, и за 15+ кто-то да и придумал выход из ситуации.
ITF, Работало - и не трогали. Сейчас есть предположение что работать перестанет - вот и зашевелились :)
Список баз 1С - это же файлик? Скриптом брать при логине, вызов скрипта можно вообще в .bashrc зафигачить. А что до принтеров - нынешние принтера такие зубодробительно интеллектуальные, шо пипец. Недавно бился с driverless kyocera - оказалось, нехватало nss-mdns модуля!
Поддерживаются базовые возможности Active Directory:
Аутентификация рабочих станций Windows и Linux и служб;
Авторизация и предоставление ресурсов;
Групповые политики (GPO);
Перемещаемые профили (Roaming Profiles);
Поддержка инструментов Microsoft для управления серверами (Remote Server Administration Tools) с компьютеров под управлением Windows (под WINE не работает);
Поддержка протоколов SMB2 и SMB3 (в том числе с поддержкой шифрования);
Репликация с другими серверами (в том числе с Windows 2012).
paran0id, смысл такой что если с контролера на Sambe можно реплицировать GPO на Win, то должно и наоборот работать.
Т.е. тогда просто второй домен контроллер поднять на linux, забирать политики с основного?
По сути просто хотелось бы не лишиться возможности массового установки ПО, например 1С на клиентские машины. Что-то ведь должно быть ))
paran0id, да.
процентов 70% рабочих станций перевести на Ubuntu.
Они всё равно используются банально - больше как печатные машинки. Но их много, и беготню с обновлением версий ПО, или какой-то установкой нового хотелось бы исключить.
paran0id, слабо. То что у них в целом и файловая система отличается, и отсутствует реестр вообще как класс и т.д. это понимаю.
Но ведь как-то можно этим всем управлять? Ну вот опять же samba 4 если может обмениваться GPO с Windows Server.
Может какие-то другие инструменты.
Читаю описание Ansible - вроде интересное, но платное. Chef, но больше сервера. Puppet...
Можно было бы все перевести на linux, и начать через удаленный shell проводить манипуляции, понаписать скриптов. Но всегда есть самопальные расчётные программы, которые только под windows написаны, и отказаться от них нет никакой возможности.
ITF, если очень упрощённо gpo это просто текстовый файл, который клиент забирает с сервера и применяет на себя( сам применяет ). Не удивительно, что samba может хостить gpo. Но linux клиенты не умеют gpo применять.
Фактически в linux полного аналога gpo нет и подход к управлению несколько иной, я бы даже сказал, что такого как windows управления в linux нет.
Ansible это открытая платформа, у нее два типа лицензий открытая и платная.
Если единственная задача, это обновление ПО, то ее можно решить скриптами.
Средний
