Комментарии 17
Мы же работали с FreeIPA, поэтому внедрение требовало значительных трудозатрат: фактически всю систему управления учетными записями пользователей пришлось бы создавать заново.
не можете пояснить? не пробовал, но как мне представляется, доверие работает в обе стороны, и сразу после его настройки пользователи и группы из freeipa автомагически станут доступными на windows, останется только раздать им права
Когда я занимался этой штукой, там доверие работало только в одну сторону. FreeIPA видела пользователей в АД и можно было с ними работать. А вот виндовс пользователей ИПА не видела. Ну или я не смог правильно настроить (хотя я пытался именно двухстороннее доверие).
Позже, в списках рассылки вроде мелькало упоминание одним из разработчиков именно таких ограничений, но я уже отошел от этой темы и больше не интересовался.
Наверное, это потому, что в freeipa не реализован глобальный каталог ?
Ну это был 2017 год, с трудом припоминаю что там и как. Со стороны линукса все было удобно, одной командой вводишь компы в домен, роли, сертификаты - круть. А в потрохах - не очень удобные схемы лдап, шаманство с доверием, с SSO.
За давностью лет меня пытать бессмысленно, слишком устаревшая инфа.
Сейчас действительно уже реализованы двусторонние трасты (не тестировал). Но под нашу задачу нужны односторонние. Работают достаточно стабильно, но подводных камней много. Для подключения к AD используется sssd и на самом деле он кеширует весь каталог (судя по логам). Можно указать отдельный dn, который будет использоваться, чтобы не синхронить весь данные. Т.е. в случае разрыва связи с AD, все продолжает работать (со стороны клиентов IPA).
А пароли пользователей при такой схеме синхронизируется?
Не мониторил коментарии под статьей, поэтому отвечаю поздно. Это именно синхронизация, а не доверие. Доверие нам не подошло, так как AD не было изначально, он появился позже как вторичный сервер.
Нет, все как в ранних версиях, есть Trust, который позволяет "доверять" записям в AD, есть winsync, который работает как синхронизация LDAP, то-есть пользователи в AD и IPA автономны. Скрипт в статье позволяет доработать функциональность winsync, который умеет только синхронизировать пользователей в какой-либо подструктуре LDAP AD. Наш скрипт также синхронит группы, то-есть получается полная копия данных и все сервера не зависят друг от друга, то-есть падение AD не выведет из строя инфраструткру, завязанную на IPA, и наоборот.
Отвечая на ваш вопрос - синхронизация паролей в такой схеме - это штатная опция IPA, через утилиту PasswordSync для 389ds
https://docs.fedoraproject.org/en-US/Fedora/15/html/FreeIPA_Guide/pass-sync.html подробности тут. Наша статья добавляет к штатному механизму - возможность наладить синхронизацию групп, чего очень не хватает в winsync.
Добрый день! Подскажите, пожалуйста, как лучше или какую схему лучше реализовать если freeipa будет администрировать только Linux сервера, а Windows сервера будут непосредственно подключатся к Active Directory? А пользователи будут заводится только в Active Directory.
Нарисовал схему:
https://habrastorage.org/webt/y2/gi/v3/y2giv38wwkyeuiew17lnyxqpbxo.png
Интеграция FreeIPA с Active Directory