Домен на openldap (устаревшее): различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
м (АндрейЧерепанов переименовал страницу Домен в Домен на openldap (устаревшее) без оставления перенаправления)
 
(не показаны 23 промежуточные версии 8 участников)
Строка 1: Строка 1:
{{Note|Данное решение является устаревшим и не поддерживается. В настоящее время рекомендовано решение [[SambaDC|'''SambaDC''']]. Кроме того, поддерживается [[FreeIPA|'''FreeIPA''']].<br>
30 мая 2023<br>
ООО «Базальт СПО» успешно завершило проект, реализованный при грантовой поддержке РФРИТ1 на разработку аналога групповых политик Microsoft AD для компьютеров и пользователей ОС «Альт».
[https://www.basealt.ru/about/news/archive/view/gruppovye-politiki-v-linux-kak-v-windows-s-bazalt-spo-ehto-vozmozhno Новое решение «Альт Домен»] позволяет интегрировать в ИТ-инфраструктуру, построенную на ОС Windows американской компании Microsoft, рабочие места и серверы с установленными российскими ОС «Альт», сохраняя при этом как саму инфраструктуру, так и единообразие способа управления ею. Применение групповых политик от «Базальт СПО» существенно сокращает затраты компаний на пути к решению задачи обеспечения технологического суверенитета, поставленной Правительством.
}}
Страница описывает домен, используемый в дистрибутивах ALT Linux начиная с [[Альт Линукс 5.0 Ковчег]].
Страница описывает домен, используемый в дистрибутивах ALT Linux начиная с [[Альт Линукс 5.0 Ковчег]].
   
   
'''Домен''' — группа компьютеров одной сети, имеющая единый центр и использующая единые базы данных для различных сетевых служб. В ALT Linux (модуль [http://packages.altlinux.org/en/Sisyphus/srpms/alterator-net-domain alterator-net-domain]) настрaивается домен LDAP/Kerberos, который позволяет:
'''Домен''' — группа компьютеров одной сети, имеющая единый центр и использующая единые базы данных для различных сетевых служб. В ALT Linux (модуль [http://packages.altlinux.org/en/Sisyphus/srpms/alterator-net-domain alterator-net-domain]) настрaивается домен LDAP/Kerberos, который позволяет:


* вести централизованную базу пользователей и групп
* вести централизованную базу пользователей и групп
* аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля
* аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля
* использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki)
* использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki)
* автоматически подключать файловых ресурсов с серверов, анонсированных по Zeroconf
* автоматически подключать файловые ресурсы с серверов, анонсированных по Zeroconf
* использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги
* использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги
* аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows
* аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows


== Разделы ==
== Разделы ==
Строка 21: Строка 24:
* [[Домен/Решение проблем|Решение проблем]]
* [[Домен/Решение проблем|Решение проблем]]
* [[Домен/Windows|Использование домена для аутентификации компьютеров с Windows]]
* [[Домен/Windows|Использование домена для аутентификации компьютеров с Windows]]
* [[Thunderbird|Использование домена как адресной книги Thunderbird]]


== Планы ==
== Планы ==
{{todo|
# Импорт/экспорт данных в [[Домен/Скрипты|ldap-user-tools]] и alterator-ldap-users в формате CSV <pre>Фамилия,Имя,Отчество,Логин,Пароль,E-Mail,Группа1,Группа2,...,ГруппаN</pre>
# Импорт/экспорт данных в [[Домен/Скрипты|ldap-user-tools]] и alterator-ldap-users в формате CSV <pre>Фамилия,Имя,Отчество,Логин,Пароль,E-Mail,Группа1,Группа2,...,ГруппаN</pre>
# Документирование ldap-user-tools и вызовов прочих программ и модулей alterator через alterator-cmdline здесь и в man.
# Документирование ldap-user-tools и вызовов прочих программ и модулей alterator через alterator-cmdline на altlinux.org и в man-страницах.
# <strike>Переход с nss_ldap на nss-ldapd. Адаптация alterator-auth к обоим схемам.</strike>
# <strike>Поддержка маппинга в системные группы {{altbug|24494}}</strike>
# <strike>Включение в группы по умолчанию в скриптах</strike>
# Улучшение юзабилити модулей Alterator
# Улучшение юзабилити модулей Alterator
# Исправление зависания запущенных приложений в сеансе при использовании nss-ldapd (см. [http://wiki.debian.org/LDAP/PAM] и nscd)
# Исправление зависания запущенных приложений в сеансе при использовании nss-ldapd (см. [http://wiki.debian.org/LDAP/PAM] и nscd)
# Возможность подключения к домену из Microsoft Windows и других Linux. См. [[Домен/Windows]]
# Возможность подключения к домену других Linux
# Исправление проблемы разных gid на клиентских машинах для маппирования LDAPных групп
# Исправление проблемы разных gid на клиентских машинах для маппирования LDAPных групп
}}
 
=== Управление инфраструктурой ===
 
* [[Домен/TODO|Предложения по улучшению]]


== Известные проблемы ==
== Известные проблемы ==
* gid системных групп на разных компьютерах могут различаться, что вызывает проблему назначения системных групп для пользователя
* gid системных групп на разных компьютерах могут различаться, что вызывает проблему назначения системных групп для пользователя (решается с помощью /etc/role из пакета libnss-role)
* ALT-домен для Windows выступает только как NT-домен, не Active Directory, что вызывает проблемы с аутентификацией в версиях Windows старше Windows XP
* ALT-домен для Windows выступает только как NT-домен, не Active Directory, что вызывает проблемы с аутентификацией в версиях Windows старше Windows XP
* На клиентских машинах не создаются группы на кириллице
* На общем сетевом каталоге Samba невозможно с клиентского компьютера изменить право на запись для группы (сама группа может быть сменена)
* При показе списка пользователей показываются не только пользователи, но и зарегистрированные рабочей станции (с $ на конце имени)
* Сервер домена не работает под systemd. Рекомендуется использовать sysvinit.
* Имя домена нельзя завершать .local - доменная зона DNS "local." предназначена для Zeroconf и используется в avahi-daemon. Если позарез нужно использовать домен вида "name.local", тогда остановите avahi-daemon и запретите его запуск.
См. также [[Домен/Kerberos]].
== Разное ==
* [[Домен/GSSAPI|Использование GSSAPI]]


[[Категория:Руководства]]
[[Категория:Руководства]]
[[Категория:Домен]]
[[Категория:Домен]]
{{Category navigation|title=Домен|category=Домен|sortkey={{SUBPAGENAME}}}}
{{Category navigation|title=Admin|category=Admin|sortkey={{SUBPAGENAME}}}}
[[Категория:Корпоративная инфраструктура]]
{{Category navigation|title=Корпоративная инфраструктура|category=Корпоративная инфраструктура|sortkey={{SUBPAGENAME}}}}

Текущая версия от 09:00, 6 февраля 2024

Примечание: Данное решение является устаревшим и не поддерживается. В настоящее время рекомендовано решение SambaDC. Кроме того, поддерживается FreeIPA.

30 мая 2023
ООО «Базальт СПО» успешно завершило проект, реализованный при грантовой поддержке РФРИТ1 на разработку аналога групповых политик Microsoft AD для компьютеров и пользователей ОС «Альт». Новое решение «Альт Домен» позволяет интегрировать в ИТ-инфраструктуру, построенную на ОС Windows американской компании Microsoft, рабочие места и серверы с установленными российскими ОС «Альт», сохраняя при этом как саму инфраструктуру, так и единообразие способа управления ею. Применение групповых политик от «Базальт СПО» существенно сокращает затраты компаний на пути к решению задачи обеспечения технологического суверенитета, поставленной Правительством.

Страница описывает домен, используемый в дистрибутивах ALT Linux начиная с Альт Линукс 5.0 Ковчег.

Домен — группа компьютеров одной сети, имеющая единый центр и использующая единые базы данных для различных сетевых служб. В ALT Linux (модуль alterator-net-domain) настрaивается домен LDAP/Kerberos, который позволяет:

  • вести централизованную базу пользователей и групп
  • аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля
  • использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki)
  • автоматически подключать файловые ресурсы с серверов, анонсированных по Zeroconf
  • использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги
  • аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows

Разделы

Планы

  1. Импорт/экспорт данных в ldap-user-tools и alterator-ldap-users в формате CSV 
    Фамилия,Имя,Отчество,Логин,Пароль,E-Mail,Группа1,Группа2,...,ГруппаN
  2. Документирование ldap-user-tools и вызовов прочих программ и модулей alterator через alterator-cmdline на altlinux.org и в man-страницах.
  3. Улучшение юзабилити модулей Alterator
  4. Исправление зависания запущенных приложений в сеансе при использовании nss-ldapd (см. [1] и nscd)
  5. Возможность подключения к домену других Linux
  6. Исправление проблемы разных gid на клиентских машинах для маппирования LDAPных групп

Управление инфраструктурой

Известные проблемы

  • gid системных групп на разных компьютерах могут различаться, что вызывает проблему назначения системных групп для пользователя (решается с помощью /etc/role из пакета libnss-role)
  • ALT-домен для Windows выступает только как NT-домен, не Active Directory, что вызывает проблемы с аутентификацией в версиях Windows старше Windows XP
  • На клиентских машинах не создаются группы на кириллице
  • На общем сетевом каталоге Samba невозможно с клиентского компьютера изменить право на запись для группы (сама группа может быть сменена)
  • При показе списка пользователей показываются не только пользователи, но и зарегистрированные рабочей станции (с $ на конце имени)
  • Сервер домена не работает под systemd. Рекомендуется использовать sysvinit.
  • Имя домена нельзя завершать .local - доменная зона DNS "local." предназначена для Zeroconf и используется в avahi-daemon. Если позарез нужно использовать домен вида "name.local", тогда остановите avahi-daemon и запретите его запуск.

См. также Домен/Kerberos.

Разное

Домен
Centaurus: Бездисковый клиент • Centaurus: домен • ActiveDirectory/DC • ActiveDirectory/FileShare • Домен/GSSAPI • Gvfs-shares • Домен/Kerberos • Домен/LDAP • ActiveDirectory/Login • Домен/Windows/Manual • NFS сервер с Kerberos авторизацией • Samba/Fileserver/AD-auth • SambaADClient и клонирование диска • SambaDC/Squid • Thunderbird • Домен/TODO • Домен/Windows • Ввод в домен на базе Windows 2003 • Домен на openldap (устаревшее) • Домен/Использование Kerberos • Домен/Планы • Дополнительные серверы и member-сервисы в домене ALT Linux • Работа домена Centaurus с несколькими подсетями • Домен/Решение проблем • Домен/Скрипты • Домен/Состав
 
Admin
AltHa • Apache2 • Api.php • APT в ALT Linux • Azure • BackUp/DayOfDayBackUp • Biarch • BIND • BIND SEC • Bootflash (VirtualBoot) • Capabilities • Changes/rpm • Compact3 (HostingInstallHowto) • Control • Control++ • Control++:Blacklist/Whitelist • CVE-Manager • DDNS • DhcpBind • EC2 • Egroupware • EjabberdJit • Enterprise Software • Etckeeper • Etcnet • Evmctl • Evms inside initrd • Features • Features/ChrootedServices • Firewall • Flussonic • Ganeti • Hadoop • Hbase • High Availability • IKVM • Infiniband • InstallOnFlash • IPMI • Ipmitool • Iptables • IPTV • Участник:IvanZakharyaschev/Что делать, если забыл имена пользователей • Участник:IvanZakharyaschev/Что делать, если забыл пароли (в т.ч. пароль root-а) • Участник:IvanZakharyaschev/Что делать, если затёр загрузчик системы • IvmanAutomount • Jupyter Notebook • LargeFiles • LDAP • Lotus • LXC • Mailman • Mailman and lighttpd • Utf8/MigrateToKoi8 • Migration • Moodle • Motion • MSSQL • Multipath • MultiSeat systemd • Multistation • MySQL • Nagios-plugins-smartmon • Netconsole • NetInstall • Netplan • NextCloud в контейнере • OpenLDAP • OpenNMS • OpenVZ • OpenVZ7 • Oracle10g • OracleALS40 • Starterkits/p7 • Starterkits/p8 • Polkit • Pppoptions • Pptpd • Puppet/Запуск puppetry (пример с libvirt) • PVE • RAID • Replace disk online • RoCE • Roundcube • S5000PAL • Samba • SCOM • Security • SelinuxOff • SerialLogin • SerialPortOverIP • Server Security • SharedTmpfsMaintainance • Sisyphus changes • Sisyphus-mirror • SMART-оповещения через Telegram • SPICE • SQLite • SSD • SSH • Starterkits • SwitchToSisyphus • Sysadmin • Systemd • SystemImager • Sysvinit • Tcb • TeXLivePackaging • UFW • Vargus • VideoMost • Web-cyradm • Wi-fi • WireGuard • Xen • Xymon • Zabbix • Zarafa • Zimbra • ZRAM/ZSWAP • Аутентификация по ключу • Безграничный DNS • Бот Telegram • Восстановление • Выявление сессий по ключу SSH • Двухфакторная аутентификация • Домен на openldap (устаревшее) • Доступ по SSH за NAT через TOR • Загрузочная USB Flash • Загрузочные флешки • Загрузчики • Задачи администратора • Задний ход в DarkWeb • Запрет командной строки • Контейнеры systemd-nspawn • Настройка FTP • Настройка rsync-сервера • НастройкаСервераПриложений • Обновление • Обновление ОС • Оборудование • Ограничение использования консолей • Ограничения интерфейса KDE • Отключение интерактивного входа • Переменные bash • ПроблемыДоступностиРазделов • Программы • Прозрачный прокси-сервер • РазбиениеДиска • Ресолвер • Синхронизация времени • Скачивание расширений Chromium • Таймеры systemd вместо crond • ТестированиеКомпьютера • Управление вентилятором Radeon RX-6xx0 • Управление пакетами • Установка UniFi Controller в контейнер LXC • УчётТрафика • Файловые системы • Шаблоны для развёртывания CT в PVE • Категория:Active Directory • Категория:Alterator • Категория:APT • Категория:Backup • Категория:DhcpBind • Категория:Etcnet • Категория:Features • Категория:FileSystems • Категория:FreeIPA • Категория:High Availability • Категория:Kernel • Категория:LDAP • Категория:Make-initrd • Категория:Monitoring • Категория:MySQL • Категория:Oracle • Категория:Power Management • Категория:Samba • Категория:Systemd • Категория:VPN • Категория:Xen • Категория:ZABBIX • Категория:Автомонтирование • Категория:Виртуализация • Категория:Загрузчики • Категория:Использование оборудования • Категория:Синхронизация времени • Категория:Шрифты
 
Корпоративная инфраструктура