Всем привет!
Изучаю возможности Samba 4-й - в частности возможность полностью заменить Active Directory.
Прошу поделиться, у кого какой опыт успешный/неуспешный есть?
Точнее интересуют подводные камни, на которые натыкаешься уже в реальной эксплуатации...Сейчас у меня есть развернутый полигон с виртуальными машинами:
1) FreeBSD 11 + samba43-4.3.11_1 (ставил стандартный с помощью pkg за 5 минут без компиляции и портов). Вначале пробовал поставить 4.4 - но при samba-tool domain provision python уходит в SegFault, поэтому сейчас стоит 4.3).
2) Три чистые виртуалки с WinXP/Win7/Win10Домен разворачивал по wiki с default параметрами (интегрированный DNS). DHCP нет пока что.
Что уже протестировал и что работает:
1) Включение в домен, видимость шар SYSVOL/NETLOGON.
2) Аутентификация, возможность работы с только что созданными пользователями.
3) Применение групповых политик (ну там шары через bat, шары через Preferences и т.д.).Что сходу не заработало:
1) Не создаются и не обновляются DNS-записи (при вводе машин в домен, при входе, при выполнении ipconfig /registerdns). параметр allow dns updates стоит в secure only. Через RSAT на зоне параметр тоже стоит Secure Only и не изменяется.
2) При переименовании машины и последующей перезагрузки объект в каталоге AD переименовывается не полностью. Часть атрибутов переименовывается, а вот cn например нет. И еще парочка. На работу правда не влияет - но не кошерно как то )))Прошу, поделитесь реальным опытом...
Заранее большое спасибо!
Самба это тупиковая ветвь развития. У разработчиков самбы никогда не было цели сделать продукт, качественно отличающийся от других. Они всегда плелись позади паровоза, молясь на подачки в виде свежих спецификаций для взаимодействия с микрософтовыми клиентами.
Хотите централизованную систему для управления пользователями/политиками и пр. - смотрите в сторону FreeIPA.
> Самба это тупиковая ветвь развития. У разработчиков самбы никогда не было цели
> сделать продукт, качественно отличающийся от других. Они всегда плелись позади паровоза,
> молясь на подачки в виде свежих спецификаций для взаимодействия с микрософтовыми
> клиентами.
> Хотите централизованную систему для управления пользователями/политиками и пр. - смотрите
> в сторону FreeIPA.Может и так, но тем не менее Samba живет и развивается уже 24 года (если считать первую версию в 1992-м году). И думается мне, будет дальше жить и развиваться...как минимум еще лет 10 ). Для определенных задач отличный продукт - не найдете *nix-оида, который бы ее не использовал.
Почитал http://www.freeipa.org/page/About - не нашел описания, что FreeIPA делает и умеет групповые политики (а это именно то, что нужно мне от Samba4, кроме аутентификации естественно).
Собственно задача в глобальном варианте смотрится так - есть ряд заказчиков, которые готовы отдать некоторую сумму денег, чтобы окончательно спрыгнуть с контрактов с Microsoft. Полностью от MS уйти конечно не выйдет, но оставить какие то точечные приобретения. Поэтому рассматриваются разные варианты (например отказ от Exchange в пользу Opensource, отказ от Skype for Business в пользу FreePBX/Jabber, отказ от AD в пользу Samba4 и т.д.). Для каждого варианта планируются сделать расчеты как цены софта, так и цены владения (на 3 года например).
Также обучение на курсах (в нашем же УЦ) и поддержка на первые полгода-год.
> не найдете *nix-оида, который бы ее не использовал.Слишком громко.
Если цель сэкономить - от пиратских десктопов избавляйтесь тоже. Для тех целей, где в софте нет "импортозамещаторов", можно наплодить виртуальных десктопов в другой стране.А если цель уйти от микрософта - ну так зачем на полушаге останавливаться?
К сожалению винда на десктопе - это реальность, а вот рулить ими несколькими гораздо проще если есть микрософтовский домен и это тоже реальность. Мы же не на луне живем...
> К сожалению винда на десктопе - это реальностьДля старых пердунов может и реальность, а молодым уже не важно, где браузер запускать.
> К сожалению винда на десктопе - это реальность, а вот рулить
> ими несколькими гораздо проще если есть микрософтовский домен и это тоже
> реальность. Мы же не на луне живем...Согласен - для 95% администраторов Windows-десктопов привычны и удобны:
1) Групповые политики, ADMX-template - все это дает простую и гибкую возможность рулить настройками любого программного обеспечения под Windows (лишь бы у них были настройки в реестре либо в виде каких-то .ini-файлов)
2) Kerberos и прозрачная аутентификация и авторизация при доступе к ресурсам
3) Интегрированность всего что есть в серверах в AD (DNS, DHCP, DFS и т.д.)Для Linux-десктопов пока все только еще развивается....
Поставил в понедельник FreeIPA, ковыряю.
С одной стороны идея отличная и потенциальных возможностей куча:
1) Ввел несколько разных Linux-ов в домен, построенный на FreeIPA
2) Получил единую точку аутентификации (пользователи, права)
3) Получил автоматическую выписку и выдачу kerberos билетов (TGT) на входящих пользователей
4) Можно интегрировать по Kerberos большинство основных сервисов (HTTP, Mail (pop3/imap4/smtp), VPNНо блин...дочего же пока все неоднобразно:
1) в Debian freeipa-клиент только в SID. Попробовал поставить - в итоге SegFault ))) купим bugzilla
2) Ubuntu 16.04 единственный, кто без особых проблем в FreeIPA вошел и работает
3) Fedora 25 - в домен вошла, но аутентификация не работает - снова курим, ищем
4) еще парочка дистров - тоже грабли....Вот и получается - что где то технология уже вылизана (с 2002-2003), а где то еще это сделать предстоит...
PS: Но все равно - с FreeIPA действительно ознакомиться стоит и иметь ввиду ее тоже...продукт зачетный.
На Linux всё уже давно доработано в качестве сетевой структуры, даже круче в разы чем на винде!!!! Главное прямые руки и знания
> На Linux всё уже давно доработано в качестве сетевой структуры, даже круче
> в разы чем на винде!!!! Главное прямые руки и знанияЭто щас че такое было? )))
Смахивает на лозунги )))
> Но блин...дочего же пока все неоднобразно:
>> Но блин...дочего же пока все неоднобразно:
> https://en.opensuse.org/Portal:FreeIPA/InstallationРад за любителей OpenSuse/SLES/SLED...