Как запустить домен контроллер в параллельном контуре (FreeIPA)?

Question

[ITF]

Хочу переделать инфраструктуру на Linux системы, не дергая лишний раз пользователей и ничего не отключая.
Создал отдельный vlan, под него поднял свой DNS и DHCP - работают. Старые после перехода снесу - т.к. корявая адресация и т.д.
Сделал проброс, что бы основная сеть и влан друг друга видели - все ок.
Теперь хочу поднять домен контроллер .
Сейчас в основной сети есть AD с доменом "mydomain.local" на сервере dc1.mydomain.local.

Возникли вопросы, да и в целом может кто поделиться пониманием как лучше сделать?
В качестве домен контроллера выбрал FreeIPA.
1. Что бы потом незаметно перекинуть пользователей из AD, и в дальнейшем не переводить компьютеры в другой домен, могу ли я при развертывании FreeIPA указать такой же домен: "mydomain.local"? Для разрешения имен сделаю перекрестную DNS запись. Имена серверов не пересекаются.

2. Т.к. голый FreeIPA, на сколько понимаю, не умеет групповые политики - только авторизацию. Как быть с сетевыми файлообменниками и доступом к ним?

3. После того как FreeIPA будет развернут и пользователи перенесены, хочу избавиться от AD. Как быть с ограничениями правам доступа на локальные ПК под управлением Windows (типа запрета на самостоятельную установку ПО и т.д.)?
В дальнейшем планирую полностью отказаться от Windows, а там уже использовать SaltStack/Ansible.

Comments

[ITF]

Ещё меня смущает

FreeIPA использует Samba для интеграции в Active Directory. Для работы Samba необходим работающий стек IPv6

IPv6 отключаю, т.к. не использую нигде.

[Роман Безруков]

у Астра Линух есть замена AD под названием ALD Pro - как раз построена на FreeIPA/SaltStack с изрядным количеством самописной обвязки/костылей - посмотрите их документацию и базу знаний, возможно, найдете ответы на свои вопросы и прочие полезности

[Rsa97]

Для Windows в AD важно не только имя домена, но и его UID а также SID'ы пользователей. Чтобы "незаметно" перекинуть пользователей, надо чтобы и то и другое полностью совпадало.

[ITF]

Роман Безруков, не дешевое удовольствие.
Пока без финансовых вложений, так что open-source наше все.

[Роман Безруков]

ITF, мой совет был про посмотреть как это может быть сделано...
я как-то настраивал двустороннее доверие между AD и FreeIPA - так вот из AD в сторону FreeIPA оно еще как-то работает, а обратно - из FreeIPA в AD - "из коробки" работают блокировка учеток и синхронизация паролей, все остальное - костылями, скриптами и т.д.
вот этот документ смотрели? там есть ответы на ваши вопросы

[rPman]

у вас клиенты останутся на windows? тогда домен контроллер на базе linux это про samba! авторизация, хранение профилей и сетевые диски это как раз оно.

Если же вы клиентов на linux переносите, то даже не представляю, как это сделать незаметно... все пользуются только браузерами?

[ITF]

rPman, пока ядро инфраструктуры на Linux - сервисы, базы и т.д.
В это время пользователи на Windows останутся.
Потом и за них нужно взяться, а так да, в основном в режиме веб-сервиса почти все что используют. И вот тут на перспективу, не хотелось бы ещё раз переделывать ДС.

А да... сетевые диски я как-то упустил из виду.

Answer 1

[ky0]

Сколько пользователей и сколько человек хелпдеска? Пока выглядит, как будто проще один раз как следует пострадать, а не растягивать удовольствие.

Про групповые политики забудьте, FreeIPA заточен под управление доступом на линуксе.

Comments

[ITF]

200+ ПК

Ограничения позже будут через Ansible решены, вроде он умеет с Win работать. Как таковых политик особых нет, ограничение на установку ПО, да какие-то ярлыки вывести на рабочий стол.