Домен на openldap (устаревшее): различия между версиями
Нет описания правки |
м (АндрейЧерепанов переименовал страницу Домен в Домен на openldap (устаревшее) без оставления перенаправления) |
||
(не показаны 23 промежуточные версии 8 участников) | |||
Строка 1: | Строка 1: | ||
{{Note|Данное решение является устаревшим и не поддерживается. В настоящее время рекомендовано решение [[SambaDC|'''SambaDC''']]. Кроме того, поддерживается [[FreeIPA|'''FreeIPA''']].<br> | |||
30 мая 2023<br> | |||
ООО «Базальт СПО» успешно завершило проект, реализованный при грантовой поддержке РФРИТ1 на разработку аналога групповых политик Microsoft AD для компьютеров и пользователей ОС «Альт». | |||
[https://www.basealt.ru/about/news/archive/view/gruppovye-politiki-v-linux-kak-v-windows-s-bazalt-spo-ehto-vozmozhno Новое решение «Альт Домен»] позволяет интегрировать в ИТ-инфраструктуру, построенную на ОС Windows американской компании Microsoft, рабочие места и серверы с установленными российскими ОС «Альт», сохраняя при этом как саму инфраструктуру, так и единообразие способа управления ею. Применение групповых политик от «Базальт СПО» существенно сокращает затраты компаний на пути к решению задачи обеспечения технологического суверенитета, поставленной Правительством. | |||
}} | |||
Страница описывает домен, используемый в дистрибутивах ALT Linux начиная с [[Альт Линукс 5.0 Ковчег]]. | Страница описывает домен, используемый в дистрибутивах ALT Linux начиная с [[Альт Линукс 5.0 Ковчег]]. | ||
'''Домен''' — группа компьютеров одной сети, имеющая единый центр и использующая единые базы данных для различных сетевых служб. В ALT Linux (модуль [http://packages.altlinux.org/en/Sisyphus/srpms/alterator-net-domain alterator-net-domain]) настрaивается домен LDAP/Kerberos, который позволяет: | '''Домен''' — группа компьютеров одной сети, имеющая единый центр и использующая единые базы данных для различных сетевых служб. В ALT Linux (модуль [http://packages.altlinux.org/en/Sisyphus/srpms/alterator-net-domain alterator-net-domain]) настрaивается домен LDAP/Kerberos, который позволяет: | ||
* вести централизованную базу пользователей и групп | * вести централизованную базу пользователей и групп | ||
* аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля | * аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля | ||
* использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki) | * использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki) | ||
* автоматически подключать | * автоматически подключать файловые ресурсы с серверов, анонсированных по Zeroconf | ||
* использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги | * использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги | ||
* аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows | * аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows | ||
== Разделы == | == Разделы == | ||
Строка 21: | Строка 24: | ||
* [[Домен/Решение проблем|Решение проблем]] | * [[Домен/Решение проблем|Решение проблем]] | ||
* [[Домен/Windows|Использование домена для аутентификации компьютеров с Windows]] | * [[Домен/Windows|Использование домена для аутентификации компьютеров с Windows]] | ||
* [[Thunderbird|Использование домена как адресной книги Thunderbird]] | |||
== Планы == | == Планы == | ||
# Импорт/экспорт данных в [[Домен/Скрипты|ldap-user-tools]] и alterator-ldap-users в формате CSV <pre>Фамилия,Имя,Отчество,Логин,Пароль,E-Mail,Группа1,Группа2,...,ГруппаN</pre> | # Импорт/экспорт данных в [[Домен/Скрипты|ldap-user-tools]] и alterator-ldap-users в формате CSV <pre>Фамилия,Имя,Отчество,Логин,Пароль,E-Mail,Группа1,Группа2,...,ГруппаN</pre> | ||
# Документирование ldap-user-tools и вызовов прочих программ и модулей alterator через alterator-cmdline | # Документирование ldap-user-tools и вызовов прочих программ и модулей alterator через alterator-cmdline на altlinux.org и в man-страницах. | ||
# Улучшение юзабилити модулей Alterator | # Улучшение юзабилити модулей Alterator | ||
# Исправление зависания запущенных приложений в сеансе при использовании nss-ldapd (см. [http://wiki.debian.org/LDAP/PAM] и nscd) | # Исправление зависания запущенных приложений в сеансе при использовании nss-ldapd (см. [http://wiki.debian.org/LDAP/PAM] и nscd) | ||
# Возможность подключения к домену | # Возможность подключения к домену других Linux | ||
# Исправление проблемы разных gid на клиентских машинах для маппирования LDAPных групп | # Исправление проблемы разных gid на клиентских машинах для маппирования LDAPных групп | ||
=== Управление инфраструктурой === | |||
* [[Домен/TODO|Предложения по улучшению]] | |||
== Известные проблемы == | == Известные проблемы == | ||
* gid системных групп на разных компьютерах могут различаться, что вызывает проблему назначения системных групп для пользователя | * gid системных групп на разных компьютерах могут различаться, что вызывает проблему назначения системных групп для пользователя (решается с помощью /etc/role из пакета libnss-role) | ||
* ALT-домен для Windows выступает только как NT-домен, не Active Directory, что вызывает проблемы с аутентификацией в версиях Windows старше Windows XP | * ALT-домен для Windows выступает только как NT-домен, не Active Directory, что вызывает проблемы с аутентификацией в версиях Windows старше Windows XP | ||
* На клиентских машинах не создаются группы на кириллице | |||
* На общем сетевом каталоге Samba невозможно с клиентского компьютера изменить право на запись для группы (сама группа может быть сменена) | |||
* При показе списка пользователей показываются не только пользователи, но и зарегистрированные рабочей станции (с $ на конце имени) | |||
* Сервер домена не работает под systemd. Рекомендуется использовать sysvinit. | |||
* Имя домена нельзя завершать .local - доменная зона DNS "local." предназначена для Zeroconf и используется в avahi-daemon. Если позарез нужно использовать домен вида "name.local", тогда остановите avahi-daemon и запретите его запуск. | |||
См. также [[Домен/Kerberos]]. | |||
== Разное == | |||
* [[Домен/GSSAPI|Использование GSSAPI]] | |||
[[Категория:Руководства]] | [[Категория:Руководства]] | ||
[[Категория:Домен]] | [[Категория:Домен]] | ||
{{Category navigation|title=Домен|category=Домен|sortkey={{SUBPAGENAME}}}} | |||
{{Category navigation|title=Admin|category=Admin|sortkey={{SUBPAGENAME}}}} | |||
[[Категория:Корпоративная инфраструктура]] | |||
{{Category navigation|title=Корпоративная инфраструктура|category=Корпоративная инфраструктура|sortkey={{SUBPAGENAME}}}} |
Текущая версия от 12:00, 6 февраля 2024
30 мая 2023
ООО «Базальт СПО» успешно завершило проект, реализованный при грантовой поддержке РФРИТ1 на разработку аналога групповых политик Microsoft AD для компьютеров и пользователей ОС «Альт».
Новое решение «Альт Домен» позволяет интегрировать в ИТ-инфраструктуру, построенную на ОС Windows американской компании Microsoft, рабочие места и серверы с установленными российскими ОС «Альт», сохраняя при этом как саму инфраструктуру, так и единообразие способа управления ею. Применение групповых политик от «Базальт СПО» существенно сокращает затраты компаний на пути к решению задачи обеспечения технологического суверенитета, поставленной Правительством.
Страница описывает домен, используемый в дистрибутивах ALT Linux начиная с Альт Линукс 5.0 Ковчег.
Домен — группа компьютеров одной сети, имеющая единый центр и использующая единые базы данных для различных сетевых служб. В ALT Linux (модуль alterator-net-domain) настрaивается домен LDAP/Kerberos, который позволяет:
- вести централизованную базу пользователей и групп
- аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля
- использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki)
- автоматически подключать файловые ресурсы с серверов, анонсированных по Zeroconf
- использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги
- аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows
Разделы
- Состав
- Создание домена
- Бездисковый клиент
- Работа домена Centaurus с несколькими подсетями
- Программы для управления доменом
- Решение проблем
- Использование домена для аутентификации компьютеров с Windows
- Использование домена как адресной книги Thunderbird
Планы
- Импорт/экспорт данных в ldap-user-tools и alterator-ldap-users в формате CSV
Фамилия,Имя,Отчество,Логин,Пароль,E-Mail,Группа1,Группа2,...,ГруппаN
- Документирование ldap-user-tools и вызовов прочих программ и модулей alterator через alterator-cmdline на altlinux.org и в man-страницах.
- Улучшение юзабилити модулей Alterator
- Исправление зависания запущенных приложений в сеансе при использовании nss-ldapd (см. [1] и nscd)
- Возможность подключения к домену других Linux
- Исправление проблемы разных gid на клиентских машинах для маппирования LDAPных групп
Управление инфраструктурой
Известные проблемы
- gid системных групп на разных компьютерах могут различаться, что вызывает проблему назначения системных групп для пользователя (решается с помощью /etc/role из пакета libnss-role)
- ALT-домен для Windows выступает только как NT-домен, не Active Directory, что вызывает проблемы с аутентификацией в версиях Windows старше Windows XP
- На клиентских машинах не создаются группы на кириллице
- На общем сетевом каталоге Samba невозможно с клиентского компьютера изменить право на запись для группы (сама группа может быть сменена)
- При показе списка пользователей показываются не только пользователи, но и зарегистрированные рабочей станции (с $ на конце имени)
- Сервер домена не работает под systemd. Рекомендуется использовать sysvinit.
- Имя домена нельзя завершать .local - доменная зона DNS "local." предназначена для Zeroconf и используется в avahi-daemon. Если позарез нужно использовать домен вида "name.local", тогда остановите avahi-daemon и запретите его запуск.
См. также Домен/Kerberos.