URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2783
[ Назад ]

Исходное сообщение
"Linux машины и домен AD + инвентаризация linux машин"
Отправлено gunix93 , 02-Сен-25 09:26

Имеется около 260 виртуальных linux машин. 95% на ubuntu server и какая то небольшая часть на centos. Стоит задача - управлять всем этим парком Собирать информацию, предоставлять к ним доступ по аналогии с Windows машинами - через группы доступа. В данный момент авторизация происходит через SSH ключи распространяемые git+ anslble. Машины могут быть расположены в разных цодах, но у всех есть сетевая видимость друг друга. Кто как решал данную задачу? Возможно ли их включить в домен Active Directory ? С одним ньюансом. Названия этих машин далеко выходят за 15 символов в домене и переименовывать их уже никто не будет так как они используются в продуктовой среде. О том чтобы собрать их в одном месте на момент их заведения никто не задумывался. Наименования по типу machine1-clickhouse01.prod.clickhouse.domain.local . Есть ли решения или направьте в нужном направлении.

Содержание

Linux машины и домен AD + инвентаризация linux машин,pavel_simple., 10:06 , 02-Сен-25
- Linux машины и домен AD + инвентаризация linux машин,gunix93, 11:13 , 02-Сен-25
  - Linux машины и домен AD + инвентаризация linux машин,pavel_simple., 13:08 , 02-Сен-25
Linux машины и домен AD + инвентаризация linux машин,pavel_simple., 13:11 , 02-Сен-25

Сообщения в этом обсуждении

"Linux машины и домен AD + инвентаризация linux машин"
Отправлено pavel_simple. , 02-Сен-25 10:06

>[оверквотинг удален]
> машинами - через группы доступа. В данный момент авторизация происходит через
> SSH ключи распространяемые git+ anslble. Машины могут быть расположены в разных
> цодах, но у всех есть сетевая видимость друг друга. Кто как
> решал данную задачу? Возможно ли их включить в домен Active Directory
> ? С одним ньюансом. Названия этих машин далеко выходят за 15
> символов в домене и переименовывать их уже никто не будет так
> как они используются в продуктовой среде. О том чтобы собрать их
> в одном месте на момент их заведения никто не задумывался. Наименования
> по типу machine1-clickhouse01.prod.clickhouse.domain.local . Есть ли решения или направьте
> в нужном направлении.
доступ-то надо организовать через ssh? просто с политиками?

"Linux машины и домен AD + инвентаризация linux машин"
Отправлено gunix93 , 02-Сен-25 11:13

>[оверквотинг удален]
>> SSH ключи распространяемые git+ anslble. Машины могут быть расположены в разных
>> цодах, но у всех есть сетевая видимость друг друга. Кто как
>> решал данную задачу? Возможно ли их включить в домен Active Directory
>> ? С одним ньюансом. Названия этих машин далеко выходят за 15
>> символов в домене и переименовывать их уже никто не будет так
>> как они используются в продуктовой среде. О том чтобы собрать их
>> в одном месте на момент их заведения никто не задумывался. Наименования
>> по типу machine1-clickhouse01.prod.clickhouse.domain.local . Есть ли решения или направьте
>> в нужном направлении.
> доступ-то надо организовать через ssh? просто с политиками?
да. чтобы пользователь домена AD из определенной группы доступа мог попасть на linux сервер с нужными правами. админы естественно с sudoers. но ограничения на полноценный ввод в домен самой машины накладывает ее слишком длинное наименование. в kubernetes почти все машины с очень длинными наименованиями превышающие стандарты NetBIOS. и если они будут добавляться их название будет усекаться. а вторая третья машины с похожими наименованиями не добавится вовсе. надо как то обойти это ограничение. и выработать какое то решение по их инвентаризации.

"Linux машины и домен AD + инвентаризация linux машин"
Отправлено pavel_simple. , 02-Сен-25 13:08

>[оверквотинг удален]
>>> в нужном направлении.
>> доступ-то надо организовать через ssh? просто с политиками?
> да. чтобы пользователь домена AD из определенной группы доступа мог попасть на
> linux сервер с нужными правами. админы естественно с sudoers. но ограничения
> на полноценный ввод в домен самой машины накладывает ее слишком длинное
> наименование. в kubernetes почти все машины с очень длинными наименованиями превышающие
> стандарты NetBIOS. и если они будут добавляться их название будет усекаться.
> а вторая третья машины с похожими наименованиями не добавится вовсе. надо
> как то обойти это ограничение. и выработать какое то решение по
> их инвентаризации.
тебе нужен https://github.com/gravitational/teleport и его настройка, но лучше сразу отказаться от ad и перейти на keycloak (возможно с интеграцией в ад)

"Linux машины и домен AD + инвентаризация linux машин"
Отправлено pavel_simple. , 02-Сен-25 13:11

>[оверквотинг удален]
> машинами - через группы доступа. В данный момент авторизация происходит через
> SSH ключи распространяемые git+ anslble. Машины могут быть расположены в разных
> цодах, но у всех есть сетевая видимость друг друга. Кто как
> решал данную задачу? Возможно ли их включить в домен Active Directory
> ? С одним ньюансом. Названия этих машин далеко выходят за 15
> символов в домене и переименовывать их уже никто не будет так
> как они используются в продуктовой среде. О том чтобы собрать их
> в одном месте на момент их заведения никто не задумывался. Наименования
> по типу machine1-clickhouse01.prod.clickhouse.domain.local . Есть ли решения или направьте
> в нужном направлении.
ну и задачи инвентаризации сильно далеки от задач разграничения доступа, с инвентаризацией наверное лучше юзать под эту задачу написаным софтом, ну, или если что-то сильно странное snmp коллектор + snmp сервер + скрипты