Домен на openldap (устаревшее)

Материал из ALT Linux Wiki
Примечание: Данное решение является устаревшим и не поддерживается. В настоящее время рекомендовано решение SambaDC. Кроме того, поддерживается FreeIPA.

30 мая 2023
ООО «Базальт СПО» успешно завершило проект, реализованный при грантовой поддержке РФРИТ1 на разработку аналога групповых политик Microsoft AD для компьютеров и пользователей ОС «Альт». Новое решение «Альт Домен» позволяет интегрировать в ИТ-инфраструктуру, построенную на ОС Windows американской компании Microsoft, рабочие места и серверы с установленными российскими ОС «Альт», сохраняя при этом как саму инфраструктуру, так и единообразие способа управления ею. Применение групповых политик от «Базальт СПО» существенно сокращает затраты компаний на пути к решению задачи обеспечения технологического суверенитета, поставленной Правительством.

Страница описывает домен, используемый в дистрибутивах ALT Linux начиная с Альт Линукс 5.0 Ковчег.

Домен — группа компьютеров одной сети, имеющая единый центр и использующая единые базы данных для различных сетевых служб. В ALT Linux (модуль alterator-net-domain) настрaивается домен LDAP/Kerberos, который позволяет:

  • вести централизованную базу пользователей и групп
  • аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля
  • использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki)
  • автоматически подключать файловые ресурсы с серверов, анонсированных по Zeroconf
  • использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги
  • аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows

Разделы

Планы

  1. Импорт/экспорт данных в ldap-user-tools и alterator-ldap-users в формате CSV 
    Фамилия,Имя,Отчество,Логин,Пароль,E-Mail,Группа1,Группа2,...,ГруппаN
  2. Документирование ldap-user-tools и вызовов прочих программ и модулей alterator через alterator-cmdline на altlinux.org и в man-страницах.
  3. Улучшение юзабилити модулей Alterator
  4. Исправление зависания запущенных приложений в сеансе при использовании nss-ldapd (см. [1] и nscd)
  5. Возможность подключения к домену других Linux
  6. Исправление проблемы разных gid на клиентских машинах для маппирования LDAPных групп

Управление инфраструктурой

Известные проблемы

  • gid системных групп на разных компьютерах могут различаться, что вызывает проблему назначения системных групп для пользователя (решается с помощью /etc/role из пакета libnss-role)
  • ALT-домен для Windows выступает только как NT-домен, не Active Directory, что вызывает проблемы с аутентификацией в версиях Windows старше Windows XP
  • На клиентских машинах не создаются группы на кириллице
  • На общем сетевом каталоге Samba невозможно с клиентского компьютера изменить право на запись для группы (сама группа может быть сменена)
  • При показе списка пользователей показываются не только пользователи, но и зарегистрированные рабочей станции (с $ на конце имени)
  • Сервер домена не работает под systemd. Рекомендуется использовать sysvinit.
  • Имя домена нельзя завершать .local - доменная зона DNS "local." предназначена для Zeroconf и используется в avahi-daemon. Если позарез нужно использовать домен вида "name.local", тогда остановите avahi-daemon и запретите его запуск.

См. также Домен/Kerberos.

Разное

Домен
Centaurus: Бездисковый клиент • Centaurus: домен • ActiveDirectory/DC • ActiveDirectory/FileShare • Домен/GSSAPI • Gvfs-shares • Домен/Kerberos • Домен/LDAP • ActiveDirectory/Login • Домен/Windows/Manual • NFS сервер с Kerberos авторизацией • Samba/Fileserver/AD-auth • SambaADClient и клонирование диска • SambaDC/Squid • Thunderbird • Домен/TODO • Домен/Windows • Ввод в домен на базе Windows 2003 • Диагностические инструменты • Домен на openldap (устаревшее) • Домен/Использование Kerberos • Домен/Планы • Дополнительные серверы и member-сервисы в домене ALT Linux • Работа домена Centaurus с несколькими подсетями • Домен/Решение проблем • Домен/Скрипты • Домен/Состав
 
Admin
AltHa • Apache2 • Api.php • APT в ALT Linux • Azure • BackUp/DayOfDayBackUp • Biarch • BIND • BIND SEC • Bootflash (VirtualBoot) • Capabilities • Changes/rpm • Compact3 (HostingInstallHowto) • Control • Control++ • Control++:Blacklist/Whitelist • CVE-Manager • DDNS • DhcpBind • EC2 • Egroupware • EjabberdJit • Enterprise Software • Etckeeper • Etcnet • Evmctl • Evms inside initrd • Features • Features/ChrootedServices • Firewall • Flussonic • Ganeti • Hadoop • Hbase • High Availability • IKVM • Infiniband • InstallOnFlash • IPMI • Ipmitool • Iptables • IPTV • Участник:IvanZakharyaschev/Что делать, если забыл имена пользователей • Участник:IvanZakharyaschev/Что делать, если забыл пароли (в т.ч. пароль root-а) • Участник:IvanZakharyaschev/Что делать, если затёр загрузчик системы • IvmanAutomount • Jupyter Notebook • LargeFiles • LDAP • Lotus • LXC • Mailman • Mailman and lighttpd • Utf8/MigrateToKoi8 • Migration • Moodle • Motion • MSSQL • Multipath • MultiSeat systemd • Multistation • MySQL • Nagios-plugins-smartmon • Netconsole • NetInstall • Netplan • NextCloud в контейнере • OpenLDAP • OpenNMS • OpenVZ • OpenVZ7 • Oracle10g • OracleALS40 • Starterkits/p7 • Starterkits/p8 • Polkit • Pppoptions • Pptpd • Puppet/Запуск puppetry (пример с libvirt) • PVE • RAID • Replace disk online • RoCE • Roundcube • S5000PAL • Samba • SCOM • Security • SelinuxOff • SerialLogin • SerialPortOverIP • Server Security • SharedTmpfsMaintainance • Sisyphus changes • Sisyphus-mirror • SMART-оповещения через Telegram • SPICE • SQLite • SSD • SSH • Starterkits • SwitchToSisyphus • Sysadmin • Systemd • SystemImager • Sysvinit • Tcb • TeXLivePackaging • UFW • Vargus • VideoMost • Web-cyradm • Wi-fi • WireGuard • Xen • Xymon • Zabbix • Zarafa • Zimbra • ZRAM/ZSWAP • Аутентификация по ключу • Безграничный DNS • Бот Telegram • Восстановление • Выявление сессий по ключу SSH • Двухфакторная аутентификация • Домен на openldap (устаревшее) • Доступ по SSH за NAT через TOR • Загрузочная USB Flash • Загрузочные флешки • Загрузчики • Задачи администратора • Задний ход в DarkWeb • Запрет командной строки • Контейнеры systemd-nspawn • Настройка FTP • Настройка rsync-сервера • НастройкаСервераПриложений • Обновление • Обновление ОС • Оборудование • Ограничение использования консолей • Ограничения интерфейса KDE • Отключение интерактивного входа • Переменные bash • ПроблемыДоступностиРазделов • Программы • Прозрачный прокси-сервер • РазбиениеДиска • Ресолвер • Синхронизация времени • Скачивание расширений Chromium • Таймеры systemd вместо crond • ТестированиеКомпьютера • Управление вентилятором Radeon RX-6xx0 • Управление пакетами • Установка UniFi Controller в контейнер LXC • УчётТрафика • Файловые системы • Шаблоны для развёртывания CT в PVE • Категория:Active Directory • Категория:Alterator • Категория:APT • Категория:Backup • Категория:DhcpBind • Категория:Etcnet • Категория:Features • Категория:FileSystems • Категория:FreeIPA • Категория:High Availability • Категория:Kernel • Категория:LDAP • Категория:Make-initrd • Категория:Monitoring • Категория:MySQL • Категория:Oracle • Категория:Power Management • Категория:Samba • Категория:Systemd • Категория:VPN • Категория:Xen • Категория:ZABBIX • Категория:Автомонтирование • Категория:Виртуализация • Категория:Загрузчики • Категория:Использование оборудования • Категория:Синхронизация времени • Категория:Шрифты
 
Корпоративная инфраструктура