Linux машины и домен AD + инвентаризация linux машин

ldap, linux, авторизация, администрирование, инвентаризация

0

4

Имеется около 260 виртуальных linux машин. 95% на ubuntu server и какая то небольшая часть на centos. Стоит задача - управлять всем этим парком Собирать информацию, предоставлять к ним доступ по аналогии с Windows машинами - через группы доступа. В данный момент авторизация происходит через SSH ключи распространяемые git+ anslble. Машины могут быть расположены в разных цодах, но у всех есть сетевая видимость друг друга. Кто как решал данную задачу? Возможно ли их включить в домен Active Directory ? С одним ньюансом. Названия этих машин далеко выходят за 15 символов в домене и переименовывать их уже никто не будет так как они используются в продуктовой среде. О том чтобы собрать их в одном месте на момент их заведения никто не задумывался. Наименования по типу machine1-clickhouse01.prod.clickhouse.domain.local . Есть ли решения или направьте в нужном направлении.

←	Не удаётся изолировать трафик tixati в namespace от WireGuard

locale gentoo jail

→

А зачем АД то? Вы прям как разрабы из АЛТ :(

Короче смотреть в сторону FreeIPA.

~~mx__~~ ★★★★★
(02.09.25 09:36:59 MSK)

если не получается ввести в ад, то для управления доступом можно заюзать sssd с провайдером ldap+krb5, и дальше создавать группы в AD например по имени машинки и в sssd проверять вхождение этого юзера в группу типа такого

ldap_user_search_filter = (memberOf=CN={{ ansible_hostname|upper }},OU=UNIX Hosts,DC=domain,DC=local)

Но это требует установки на ад еще unix services и назначения unix атрибутов пользователям (uid/home/etc). Есть провайдер ad для sssd, который это все сам все делает, конвертирует SID в uid, но насколько помню это требует включения машинки в домен.

user_undefined ★★
(02.09.25 10:02:10 MSK)

Возможно ли их включить в домен Active Directory ?

Можно, но не нужно.

Есть ли решения или направьте в нужном направлении.

в чём проблема сейчас с git + ansible? вполне нормально описывать доступы декларативно, помещать машины в ансибл группы и давать доступ на основе групп.

что именно сейчас не устраивает или не работает?

anonymous
(02.09.25 11:37:32 MSK)

Ответ на: комментарий от anonymous 02.09.25 11:37:32 MSK

связка git + ansible сейчас используется. пока не в очень зрелом виде но идем к этому. проблема скорее возникла из за смешанности инфраструктуры где пропорции linux к windows примерно 30/70 c тенденцией на увеличение linux и уменьшение в перспективе windows но хотелось бы какого то единого способа управления всей инфраструктурой, а не linux отдельно и windows отдельно, натянуть схему существующего исторически сложившегося домена на FreeIPA скорее всего тоже было бы сложной задачей за не имением подобного опыта.

G-UNiX ★★
(02.09.25 11:48:58 MSK) автор топика

Ответ на: комментарий от G-UNiX 02.09.25 11:48:58 MSK

FreeIPA настраиваются доверительные отношения к AD.

Между прочим не было в первом сообщении что у вас еще и windows машины есть … если windows до фига то можно и просто linux в АД вогнать.

~~mx__~~ ★★★★★
(02.09.25 12:06:32 MSK)

Ответ на: комментарий от G-UNiX 02.09.25 11:48:58 MSK

хотелось бы какого то единого способа управления всей инфраструктурой, а не linux отдельно и windows отдельно

я ниразу не админ, просто интересно, а что плохого что оно раздельно управляется? ну будет на ПК админа две программки «управления» запущено вместо одной. Разные экосистемы, пусть живут отдельно. имхо, конечно.

Управление пользователями, так лучше бы разобраться и сделать чтобы юзер не скакал с компа линукса на комп с виндой.

irton ★★★★★
(02.09.25 12:10:37 MSK)

15 символов - вообще не проблема.

Суффикс .local не рекомендуется, это mDNS.

bigbit ★★★★★
(02.09.25 12:22:09 MSK)

Ответ на: комментарий от irton 02.09.25 12:10:37 MSK

Управление пользователями, так лучше бы разобраться и сделать чтобы юзер не скакал с компа линукса на комп с виндой.

Кому лучше - админу или юзеру? Всё это ради бизнеса и этих самых юзеров (которые реально деньги приносят), а не админов.

skyman ★★★★★
(02.09.25 12:38:15 MSK)

Ответ на: комментарий от skyman 02.09.25 12:38:15 MSK

так об чем и речь, смотреть что там в бизнес-процессе такого ужасного что бедолага мечется между компами (раз вы про бизнес процессы то мечется не админ а условный «бухгалтеръ» да?)

irton ★★★★★
(02.09.25 13:03:17 MSK)

Ответ на: комментарий от G-UNiX 02.09.25 11:48:58 MSK

связка git + ansible сейчас используется. пока не в очень зрелом виде но идем к этому. проблема скорее возникла из за смешанности инфраструктуры где пропорции linux к windows примерно 30/70 c тенденцией на увеличение linux и уменьшение в перспективе windows но хотелось бы какого то единого способа управления всей инфраструктурой

linux и windows - существенно разные операционные системы, и подходы к их управлению, равно как и инструментарий. ansible - вполне приемлемый способ, особенно если ключи складывать не пользовательские каталоги, а в /etc. Можно пользоваться LDAP для хранения ключей, FreeIPA, или отдельно, и это тоже рабочий способ, но он требует определённых умений - OpenLDAP сам по себе требует настройки, репликации, бэкапов и проч.

В общем, если ansible есть и работает, я бы продолжал им пользоваться, а если нужна очень единая политика, то можно AD группы регулярно синхронизировать в git.

anonymous
(02.09.25 14:55:30 MSK)

Возможно ли их включить в домен Active Directory ?

Нахрена? Чем вы там управлять собрались включив их в AD ?

anc ★★★★★
(02.09.25 15:08:50 MSK)

Ответ на: комментарий от G-UNiX 02.09.25 11:48:58 MSK

проблема скорее возникла из за смешанности инфраструктуры где пропорции linux к windows примерно 30/70 c тенденцией на увеличение linux и уменьшение в перспективе windows но хотелось бы какого то единого способа управления всей инфраструктурой

Зачем?

anc ★★★★★
(02.09.25 15:10:51 MSK)

←	Не удаётся изолировать трафик tixati в namespace от WireGuard

Admin

locale gentoo jail

→

Похожие темы