Как организовать домен на Kubuntu?

Question

[Игорь Веденов]

Добрый. Нужен совет по тому как сделать. Сейчас есть парк машин из порядка 50 штук (вин 10) и контролёр домена на базе 2016 сервера. Всё работает прекрасно. Однако сейчас встала задача часть машин перевести на линукс. В качестве итогового дистрибутива была выбрана Kubuntu 22.04 LTS (по итогам тестов на тех кому работать). Круг задач стандартный. Браузер, офис, 1С.
С контролёра домена нужно организовать подключение сетевых шар, опционально установку софта в фоне, прикрыть некоторые настройки (всё базово). В перспективе сделать полный переход на линукс.
Каким образом это всё реализовать можно? Вижу несколько вариантов:
1. Подключать линукс машины к виндовс домену через sssd и krb5.
2. Поднять отдельный домен с новым названием, при необходимость настроить доверие между новым и старым доменом и по немногу ручками переносить параллельно оптимизируя настройки
3. Делать на компах локальные учётки + под root прописать в автозагрузку bash скрипт который при входе в систему с файлохранилища будет брать настройки и конфить систему.
Может есть вариант проще?

Comments

[Drno]

3й + ансибл
Управлять нормально с АД Вы все равно не сможете
Ток правами на шары

[rPman]

Поясни пожалуйста, какие функции домена ты желаешь использовать на linux машинах.

Могу пованговать что в 99% случаев тебе хватит только файловых шар и авторизации пользователей (да и этого не надо, в подавляющем случае 1 пользователь = 1 машина)
все остальное настраивать по ssh, подключившись к нужной пользовательской машине

Если что, для доступа к шарам достаточно cifs модуля (вручную прописать параметры авторизации в fstab) либо средствами 'проводника' (thunar, dolphin, nautilus,.. все умеют подключаться по smb:// протоколу без монтирования диска). Главное отличие linux от windows, сетевые папки монтируются сразу для всей машины, а не для текущей сессии (контекста), но если в папке права настроены верно, проблем это не создает.

Т.е. машины вообще никак к домену не подключаются, а настройки делать на пользовательской машине типа так

[Игорь Веденов]

rPman, Блок внешних устройств в зависимости от пользователя. Пользователи перелогиниваются периодически но не ежедневно, а примерно раз в неделю +/-, но круг учёток примерно 10 на машинку. На часть машин централизованная накатка обой в зависимости от пользователя. Гоняется корповский яндекс браузер с настройкой через политики, немного стандартного из АД (план питания, общие ограничения по типу часть настроек не открывается, не пускать в диспетчер задач и т.д.).
По файловым шарам используем 2 синолоджи и 1 шара с самого контролёра домена. Авторизация по доменной учётке. Как то так.

[Adamos]

rPman,

все умеют подключаться по smb:// протоколу без монтирования диска

Но не все программы, в которых надо будет работать с этими файлами, адекватно работают с smb-путями. Лучше все-таки монтировать.

Answer 1

[Сергей Тарасов]

Я сам управлял смешанным доменом (DC - Samba), рулил виндовой оснасткой RSAT, клиентские компы были и виндовые, и линуксовые (тоже к слову Kubuntu, но принципиально разницы вообще никакой, хоть xununtu, хоть mint).
Короче так:
1) групповые политики на линуксовых машинах не работают. Ни к доменным юзерам, сидящим за линуксовыми машинами, ни к самим машинам.
2) лучше выберите RHEL-дистрибутив, сделаете ansible, как правильно посоветовали выше, на ubuntu я его не победил, возможно не те маны курил
3) назначение пользователям sudo-прав - через /etc/sudoers, добавляете в конец файла группу таким образом %yourlinuxadminsgroup ALL=(ALL:ALL) ALL и добавляете нужного юзера в эту группу, чтобы он мог sudo делать (у меня так было, возможно не самый оптимальный вариант, и возможно на RHEL-дистрибутивах будет работать по-другому)
4) при помощи PAM-авторизации можно генерировать домашнюю директорию пользователя, который в первый раз логинится на компе, шаблон домашней директории - /etc/skel/ , также при помощи PAM-mount можно сделать автоматическое монтирование нужных сетевых шар (но у меня руки до него не дошли, говорят работает, я монтировал /etc/fstab NFS-ом и CIFS-ом, лучше конечно NFS)

Answer 2

[CityCat4]

Поднять отдельный домен. Хотя со скриптами тоже потрахаться придется, особенно если переход с почты outlook на TB например.
Проще варианта нет - только нечто самопальное, похожее на огород из костылей. Винда свой домен пилит двадцать лет. Самба прримерно столько же но из-за позиции вечно догоняющей получается... как получается :)