Альтернатива «Active Directory» в среде Linux

@Maks · Регистрация: 13.03.2013

Студворк — интернет-сервис помощи студентам

Приветствую вас, уважаемые коллеги и участники форума.
На работе поставили задачу перейти на Linux, коснулось это не только пользовательских ПК, но и серверной части.
На данный момент имеются два сервера: Active Directory на базе Windows Server 2012 R2 и файлопомойка на той же платформе, только на физически другом железе.
Аппаратная платформа серверов «HP ProLiant DL380 G7».
Клиентские ПК не введены в Active Directory (такова политика компании), домен используется исключительно для авторизации на терминальном сервере, 1С, сетевом ресурсе (файлопомойка), и доменной авторизацией почтового ящика в почтовых клиентах.
Собственно, имеется вопрос следующий: какую платформу выбрать для аналога «Active Directory» в среде Linux и как настраивать доменную авторизацию в этой среде?
Я не прошу разжевывать материал и т.п., просто вкратце опишите принцип и/или направьте в нужное русло.

@_sg2 · 01.09.2018, 21:06

А причём тут AD?
Вам нужна централизованная идентификация/утентификация/аворизация?
Тогда почему AD???
Вкратце АД - это хранение в сервере LDAP сферы Kerberos, зон DNS и прочего хлама

@Maks · 02.09.2018, 06:29 **[ТС]**

Сообщение от _sg2

Тогда почему AD???
Вкратце АД - это хранение в сервере LDAP сферы Kerberos, зон DNS и прочего хлама

Про АД я Вам и сам расскажу немало (собаку на этом съел), меня интересует ответ по сути вопроса.
Нужен не АД, а льтернатива АД, с авторизацией на корпоравтиных ресурсах, DNS и DHCP (хотя последние два пункта не критичны).
Если нечего сказать по теме - проходите мимо.

@_sg2 · 02.09.2018, 09:46

Разрешите задержаться

1. Пощупайте samba.
2. Или FreeIPA.
3. Или вообще в рукопашную OpenLDAP+Kerberos подымите.

@gng · 02.09.2018, 16:31

Сообщение от Maks

какую платформу выбрать для аналога «Active Directory» в среде Linux

Заменой АД является Самба 4. Она поддерживает функциональность АД на уровне Уиндовс 2000 (и авторизацию/аутентификацию, и управление групповыми политиками) и даже совместима с ней.
Но ИМХО, с Самбой DC имеет смысл иметь дело, если у вас доменные вендовые клиенты.
В вашем случае есть другие варианты, на мой взляд, более привлекательные.
1. Не заморачиваясь вовсе, завести локальных пользователей на одном сервере, а на другом тупо их дублировать, напр. через синхронизацию файлов.
2. Настроить openldap как для авторизации, так и для аутентификации.
3. Поднять openldap для авторизации, а для аутентификации поднять Керберос. Базу пользователей тогда придется дублировать.
4. Если для ваших служб нужна только аутентификация, то можно ограничиться только Керберосом.
5. Если все службы работают через Веб, то подойдет также что-то типа OAuth.

У меня третий вариант, но в сети помимо Линуксов есть около десятка Вендовых машин, введенных в Керберос-домен.

@Maks · 02.09.2018, 16:46 **[ТС]**

gng, на данный момент сеть гетерогенная, т.к. есть лицензия Windows, а это примерно 20% ПК из всей сети.
Повторюсь, управление групповыми политиками, а ровно, централизация не нужны.
Нужны учетки, которые в будущем привяжутся к файловому хранилищу, RDP и 1С, возможно еще и прокси.

@gng · 02.09.2018, 17:06

Сообщение от Maks

к файловому хранилищу

Если на cifs, то все равно нужна samba, только можно без DC. Если по ftp, то вроде они по разному умеют проходить аутентификацию.

Сообщение от Maks

RDP

Т.е. Вендовая машина как сервер терминалов предполагается?

Сообщение от Maks

1С,

У нее вроде своя встроенная база пользователей.

Прикидывая все, особенно RDP, Sabma DC, вопреки тому, что я написал выше, действительно может оказаться лучшим выбором. К плюсам можно причислить то, что управлять доменом вы сможете привычным образом с Вендового клиента.
Года три назад в одной огранизации я настроил сеть на Самба 4 DC. До сих пор работает. Их вендовый админ сам управляет пользователями и политиками. Только раза два мне пришлось что-то править руками.

@Maks · 02.09.2018, 17:12 **[ТС]**

Сообщение от gng

Т.е. Вендовая машина как сервер терминалов предполагается?

У нас 2 терминала: один на базе Windows Server 2008 R2, второй на Xubuntu 14.04.
На данный момент все работают в Виндовом ТС, Xubuntu планируется основательно вводить в эксплуатацию только после реализации задачи по внедрению альтернативы AD на базе систем Linux/Unix (чтобы не делать двойную работу).

@gng · 02.09.2018, 17:19

Сообщение от Maks

второй на Xubuntu 14.04.

А как вы в терминалах на Бубунте вендовые программы планируете запускать, тот же 1С и т.п.? Или от них тоже уходите?

@_sg2 · 02.09.2018, 22:15

И всё же я бы рекомендовал FreeIPA попробовать раскрутить. Там и средства управления какие-никакие есть...

@Maks · 03.09.2018, 06:17 **[ТС]**

Сообщение от gng

А как вы в терминалах на Бубунте вендовые программы планируете запускать, тот же 1С и т.п.?

Эм, ну как бы 1С уже более-менее допилили свои дистрибутивы под Linux, на крайний случай можно будет накатить платформу для виндовой версии (тот же wine).

Новые блоги и статьи Все статьи Все блоги /
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Programma_Boinc 01.01.2026 Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Сочетание глобально распределённой вычислительной мощности и инновационных. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .
Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .

@Maks Супер-модератор 9307 / 5095 / 610 Регистрация: 13.03.2013 Сообщений: 18,018 Записей в блоге: 17

	Альтернатива «Active Directory» в среде Linux 01.09.2018, 16:11. Показов 27559. Ответов 10 Метки нет (Все метки) Приветствую вас, уважаемые коллеги и участники форума. На работе поставили задачу перейти на Linux, коснулось это не только пользовательских ПК, но и серверной части. На данный момент имеются два сервера: Active Directory на базе Windows Server 2012 R2 и файлопомойка на той же платформе, только на физически другом железе. Аппаратная платформа серверов «HP ProLiant DL380 G7». Клиентские ПК не введены в Active Directory (такова политика компании), домен используется исключительно для авторизации на терминальном сервере, 1С, сетевом ресурсе (файлопомойка), и доменной авторизацией почтового ящика в почтовых клиентах. Собственно, имеется вопрос следующий: какую платформу выбрать для аналога «Active Directory» в среде Linux и как настраивать доменную авторизацию в этой среде? Я не прошу разжевывать материал и т.п., просто вкратце опишите принцип и/или направьте в нужное русло. 0

@_sg2 1130 / 387 / 84 Регистрация: 30.08.2017 Сообщений: 2,386
	01.09.2018, 21:06
	А причём тут AD? Вам нужна централизованная идентификация/утентификация/аворизация? Тогда почему AD??? Вкратце АД - это хранение в сервере LDAP сферы Kerberos, зон DNS и прочего хлама 0

@_sg2 1130 / 387 / 84 Регистрация: 30.08.2017 Сообщений: 2,386
	02.09.2018, 09:46
	Разрешите задержаться 1. Пощупайте samba. 2. Или FreeIPA. 3. Или вообще в рукопашную OpenLDAP+Kerberos подымите. 1

@Maks Супер-модератор 9307 / 5095 / 610 Регистрация: 13.03.2013 Сообщений: 18,018 Записей в блоге: 17
	02.09.2018, 16:46 [ТС]
	gng, на данный момент сеть гетерогенная, т.к. есть лицензия Windows, а это примерно 20% ПК из всей сети. Повторюсь, управление групповыми политиками, а ровно, централизация не нужны. Нужны учетки, которые в будущем привяжутся к файловому хранилищу, RDP и 1С, возможно еще и прокси. 0

@_sg2 1130 / 387 / 84 Регистрация: 30.08.2017 Сообщений: 2,386
	02.09.2018, 22:15
	И всё же я бы рекомендовал FreeIPA попробовать раскрутить. Там и средства управления какие-никакие есть... 0