Будут ли работать групповые политики AD для Linux машин?

Question

[ITF]

Есть развернутый контроллер домена на Win2012R2, с установленными политиками, вроде подключение шар, создание ярлыков на рабочий стол, установка приложений, доступы.
Смотрим в сторону Ubuntu для рабочих станций. Сервера остаются на Win. Полностью от рабочих станций на Win отказаться не сможем, из-за специфичного ПО.
Понятно что базовая авторизация работать через AD будет, но как сделать применимость политик?

Comments

[shurshur]

Многие думают, что групповые политики - такая мистическая универсальная хрень, которая универсальна и непреложна. Но это не так, для их поддержки конечная система должна явно иметь их поддержку. И далеко не всё можно поддержать вообще, не говоря уже о том, чтобы поддержать легко.

Например, представим себе, что есть групповая политика, запрещающая пользователю менять обоину на рабочем столе. Так вот, в Windows для этого штатный механизм явно проверяет, что обоину менять нельзя и запрещает её менять. Возможно, что при этом обои можно поменять через реестр? Не знаю, не знаю, но допускаю, что и в этом случае система следит за пользователем и не даёт ему это сделать.

Представим себе, что мы бы захотели распространять эту практику на Linux-системы. А как это сделать? Начнём с того, что в Linux существуют десятки Desktop Environment (DE), в некоторых из которых обои не предусмотрены вообще никак! А в тех, в которых предусмотрены, могут по-разному настраиваться, держать в разных местах конфиги... Плюс в Linux можно завести несколько десктопов (воркспейсов) и на каждом повесить свою обоину. Или настроить их рандомную ротацию.

До кучи, есть не только известные DE (KDE/GNOME/XFCE4/LXDE/WindowMaker итд итп) и редкоиспользуемые (типа OpenBox/E17/i3/fvwm2), никто вообще не требует использовать все компоненты одной DE одновременно. Например, в XFCE можно использовать оконный менеджер xfwm4, но оторвать и не запускать вообще его десктопную часть xfdesktop. Или вот например я исторически использую терминал Konsole от KDE, при том, что у меня XFCE.

При переходе на Linux надо не самые лютые практики винды пытаться воспроизводить, а решать задачи с учётом того, что это другая совершенно по-другому устроенная система.

Answer 1

[CityCat4]

Стоило наверное немного подумать головой, прежде чем задавать такой вопрос.

Групповая политика - это некое действие, выполняемое в некий момент. Вот например, GPO по установке корпоративного сертификата в корневые юзерского профиля. Она прекрасно работает на винде. Внимание, вопрос - куда она должна копировать сертификаты в линухе? ХЗ. Потому что даже если получить точку хранения сертификатов из свойств openssl - то банально может прав не хватить - в винде-то GPO выполняется с приоритетом системы :)
Или вот напримепр политика настройки настроек прокси :) которая всем юзерм выставляет одинаковые настройки прокси - куда она должна их выставить?
Здесь нужно садиться, брать список GPO и думать - нужно ли это вообще и если нужно - как это сделать.

Comments

[ITF]

Вот в том и дело что подумал и голову сломал, решил спросить у более опытных людей.

На примере 1С.
В принципе 1С можно обновлять с сервера, сам клиент может проверить себя и попросить обновить. (Правда старые версии не удаляет).
Решили с веба перевести на тонкий клиент, и что бы не бегать через GPO запустили. Все ок. Что делать если это нужно будет с linux машинами провернуть?
Ладно, тонкий клиент установили каким-то образом, нужно список баз подсовывать... опять же в зависимости от группы пользователей в AD?0
Или выдать список принтеров пользователю, в зависимости от его авторизации через AD?

Разумеется сижу дальше гуглю что там и как, и всплывают подобные вопросы с 2005 года, и темы типа установки PowerShell на Linux или SSH на Windows. Так что думаю не я первый вопросом задался, и за 15+ кто-то да и придумал выход из ситуации.

[CityCat4]

ITF, Работало - и не трогали. Сейчас есть предположение что работать перестанет - вот и зашевелились :)

Список баз 1С - это же файлик? Скриптом брать при логине, вызов скрипта можно вообще в .bashrc зафигачить. А что до принтеров - нынешние принтера такие зубодробительно интеллектуальные, шо пипец. Недавно бился с driverless kyocera - оказалось, нехватало nss-mdns модуля!

Answer 2

[nApoBo3]

нет

Comments

[ITF]

Читаю в описании про Samba 4:
https://www.altlinux.org/ActiveDirectory/DC

Поддерживаются базовые возможности Active Directory:

• Аутентификация рабочих станций Windows и Linux и служб;
  
• Авторизация и предоставление ресурсов;
  
• Групповые политики (GPO);
  
• Перемещаемые профили (Roaming Profiles);
  
• Поддержка инструментов Microsoft для управления серверами (Remote Server Administration Tools) с компьютеров под управлением Windows (под WINE не работает);
  
• Поддержка протоколов SMB2 и SMB3 (в том числе с поддержкой шифрования);
  
• Репликация с другими серверами (в том числе с Windows 2012).
  

[paran0id]

ITF, это про сервер. Контроллер домена можно поднять на самбе.

Раз задумали такое, посмотрите лучше в сторону RedHat или Suse.

[ITF]

paran0id, смысл такой что если с контролера на Sambe можно реплицировать GPO на Win, то должно и наоборот работать.
Т.е. тогда просто второй домен контроллер поднять на linux, забирать политики с основного?

По сути просто хотелось бы не лишиться возможности массового установки ПО, например 1С на клиентские машины. Что-то ведь должно быть ))

[paran0id]

ITF, но рабочие станции на убунте?

[ITF]

paran0id, да.
процентов 70% рабочих станций перевести на Ubuntu.
Они всё равно используются банально - больше как печатные машинки. Но их много, и беготню с обновлением версий ПО, или какой-то установкой нового хотелось бы исключить.

[paran0id]

ITF, без обид, но вы вообще знакомы с linux? Там всё иначе делается.

[ITF]

paran0id, слабо. То что у них в целом и файловая система отличается, и отсутствует реестр вообще как класс и т.д. это понимаю.
Но ведь как-то можно этим всем управлять? Ну вот опять же samba 4 если может обмениваться GPO с Windows Server.

Может какие-то другие инструменты.
Читаю описание Ansible - вроде интересное, но платное. Chef, но больше сервера. Puppet...

Можно было бы все перевести на linux, и начать через удаленный shell проводить манипуляции, понаписать скриптов. Но всегда есть самопальные расчётные программы, которые только под windows написаны, и отказаться от них нет никакой возможности.

[nApoBo3]

ITF, если очень упрощённо gpo это просто текстовый файл, который клиент забирает с сервера и применяет на себя( сам применяет ). Не удивительно, что samba может хостить gpo. Но linux клиенты не умеют gpo применять.
Фактически в linux полного аналога gpo нет и подход к управлению несколько иной, я бы даже сказал, что такого как windows управления в linux нет.
Ansible это открытая платформа, у нее два типа лицензий открытая и платная.
Если единственная задача, это обновление ПО, то ее можно решить скриптами.

Answer 3

[Евгений О]

Посмотрите Alt Linux. Я читал только краткое описание в ихнем мануале. У них какие-то групповые политики реализованы под собственный дистрибутив.