Как запустить домен контроллер в параллельном контуре (FreeIPA)?
Хочу переделать инфраструктуру на Linux системы, не дергая лишний раз пользователей и ничего не отключая.
Создал отдельный vlan, под него поднял свой DNS и DHCP - работают. Старые после перехода снесу - т.к. корявая адресация и т.д.
Сделал проброс, что бы основная сеть и влан друг друга видели - все ок.
Теперь хочу поднять домен контроллер .
Сейчас в основной сети есть AD с доменом "mydomain.local" на сервере dc1.mydomain.local.
Возникли вопросы, да и в целом может кто поделиться пониманием как лучше сделать?
В качестве домен контроллера выбрал FreeIPA.
1. Что бы потом незаметно перекинуть пользователей из AD, и в дальнейшем не переводить компьютеры в другой домен, могу ли я при развертывании FreeIPA указать такой же домен: "mydomain.local"? Для разрешения имен сделаю перекрестную DNS запись. Имена серверов не пересекаются.
2. Т.к. голый FreeIPA, на сколько понимаю, не умеет групповые политики - только авторизацию. Как быть с сетевыми файлообменниками и доступом к ним?
3. После того как FreeIPA будет развернут и пользователи перенесены, хочу избавиться от AD. Как быть с ограничениями правам доступа на локальные ПК под управлением Windows (типа запрета на самостоятельную установку ПО и т.д.)?
В дальнейшем планирую полностью отказаться от Windows, а там уже использовать SaltStack/Ansible.
у Астра Линух есть замена AD под названием ALD Pro - как раз построена на FreeIPA/SaltStack с изрядным количеством самописной обвязки/костылей - посмотрите их документацию и базу знаний, возможно, найдете ответы на свои вопросы и прочие полезности
Для Windows в AD важно не только имя домена, но и его UID а также SID'ы пользователей. Чтобы "незаметно" перекинуть пользователей, надо чтобы и то и другое полностью совпадало.
Простой
