#linux #active_directory #opensource #samba
Доброго дня. Работаю системным администратором в гос. структуре. Нам поставили задачу
"перенести" инфраструктуру на опенсорсные решения, а именно AD и Exchange. Более 1500
пользователей. С линухами работаю относительно недавно, и соответственно, малоопытный.
Для решения задачи пытался поставить Samba4 в роли контроллера домена и привязать
всех пользователей к OpenLDAP на Debian 8. Ничего не вышло. Эти двое видимо не дружат,
так по крайней мере написано на Samba Wiki.
А вообще, что нам требуется от контроллера домена:
Пользователи (Win 7 и XP, планируется в будущем постепенный перевод пользователей
на линукс машины) распределены по поддоменам (region.asdf.com,
city.asdf.com, office.asdf.com и т.д.)
Доступ к сетевым принтерам в домене.
Общие папки и расшаренные папки на компах пользователей (доступ через "Сетевое окружение"
на винде)
Групповые политики.
Samba вроде как всё это умеет, по описанию.. но без LDAP он не нужен..
А вместо Exchange хотим поставить почтовик с веб клиентом и отучить пользователей
от Outlook.
Так вот, в связи с этим вопрос... Это осущесвимо на линуксе или всё это волшебный
мир с единорогами? Начальство ясно дало понять, что денег на лицензию майкрософту не
дадут, из-за этого и переход на опенсорс... -_-
Ответы
Ответ 1
Я не сисадмин, но на люнихе живу уже почти 20 лет и моё мнение таково: Когда кто-то пытается перейти на "опенсорсные решения", то самое первое и (казалось бы) самое естественное - попытаться перенести всё, как есть, используя аналоги из люниха. В первую очередь - самбу. Т.е. смоделировать винду на люнихе. Я убеждён, что это - самый тяжёлый и неэффективный путь. Рабочие группы, AD и прочие "гениальные" изобретения Билла Гейтса никак не вписываются в идеологию *NIX систем. Достаточно вспомнить такие проблемы, как : Разный подход к использованию имён файлов и каталогов Разных подход к понятию "пользователь" и его права Разный подход к понятию "свойства (режим)" файла / каталога. Ну и так далее... Выполнить адекватный перенос очень сложно! Гораздо проще забить на все эти рабочие группы и AD и использовать нативные возможности люниха - файловую систему NFS (которая позволит создавать сетевые структуры гораздо более простыми методами) и права пользователей, предоставляемые самим люнихом. Если у Вас какая-то супер-безопасная контора, можно использовать Linux SE (Например: https://xakep.ru/2015/09/15/astra-linux-se/). Это даст Вам уровень безопасности намного превышающий виндовозный. Если Вам нужен стандартный набор сетевых сервисов, сделайте один сервер под nas4free (https://www.gotoadm.ru/network-storage-using-nas4free-part-1-installation/) - там одним щелчком запускаются все типовые сервисы: Файловая помойка с любым уровнем RAID FTP сервер WEB сервер Самба контроллер Почтовый сервер ... Я не помню, что там ещё. Короче : продумайте структуру системы и сделайте всё с нуля!Ответ 2
Добрый день! То что пишу - сугубо мое мнение. На вашем месте я бы использовал Samba(https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller) в качестве контроллера домена управлять можно из mmc консоли установив RSAT для windows. Если на сервере то для создания\удаления и редактирования пользователей phpldapadmin можно использовать. С exchange посложнее но есть вариант развернуть на схему SAMBA AD DC - openchange (правда проект вроде как закрылся) или как вариант посмотреть в сторону SOGo (https://sogo.nu/) в качестве фронтенда для postfix(или exim кому как удобнее)\dovecot. Есть еще kolab (https://kolab.org/) он в себе содержит DirSrv(это реализация LDAP) почтовик(postfix\dovecot\spamassasin\postgrey) и в качестве фронтенда - roundcube Но самый простой вариант для вас взять Zentyal он на убунте с самбой все в нем и почтовик и прокси и сого и файерволл. А вообще начинание крутое! успехов! (подумайте сразу чем можно MS Office заменить)
Комментариев нет:
Отправить комментарий