Необходимо войти или зарегистрироваться

Авторизация

Введите логин, email или номер телефона, начинающийся с символа «+»
Забыли пароль? Регистрация

Новый пароль

Авторизация

Восстановление пароля

Авторизация

Регистрация

Выберите, пожалуйста, ник на пикабу
Номер будет виден только вам.
Отправка смс бесплатна
У меня уже есть аккаунт с ником Отменить привязку?

Регистрация

Номер будет виден только вам.
Отправка смс бесплатна
Создавая аккаунт, я соглашаюсь с правилами Пикабу и даю согласие на обработку персональных данных.
Авторизация

Пост

Пост

PGina - альтернатива Active Directory аутентификации в windows для гетерогенных сетей

ventricola в Лига Сисадминов

Коллеги пишут нам о полезных программах -  собственно, почему бы и нет?!

Общеизвестно, что с древнейших времен не только юзеры, но и сисадмины локалхостов, да что тут говорить, даже матерые ветераны страдали.

PGina - альтернатива Active Directory аутентификации в windows для гетерогенных сетей Active Directory, LDAP, Аутентификация, Авторизация, Windows, Open Source

В сети за много лет накопилось огромное количество свидетельств поиска страждущими способов добавления компьютеров с урезанными версиями Windows (Home, Starter и т.п.) в домен Active Directory. Большая часть свидетельств содержит сведения о том, что страждущие так и не обрели желаемого, обломались и продолжали пребывать в унынии и страдании.


В то время как выход есть, и он прекрасен и прост. Много лет существует и развивается незаслуженно малоизвестный, но прекрасный свободный проект pGina, который позволяет легко организовать, по крайней мере, часть нужного, а именно аутентификацию.


С одной стороны это решение не может претендовать на полноценный клиент для AD, про групповые политики и другие радости вам придется забыть. Но пользователей оно аутентифицирует на ура и с минимальными трудозатратами.


С другой стороны этот проект позволяет совсем избавиться от AD, и даже про samba не вспоминать, потому что ежели кроме аутентификации ничего не нужно, то настроить сервис можно даже на OpenLDAP с минимумом телодвижений. Что для людей, у которых преимущественно *NIXы всякие да радиусы с такаксами, а Windows мало и спорадически,  может быть очень и очень приятственно.


Ну вот засим и все. Настройка и сопровождение никаких проблем и хлопот не сулят, поэтому откланиваюсь, до новых встреч.

Аватар сообщества "Лига Сисадминов"
383 поста 7 944 подписчика
31 комментарий
sinn3r
+3

Если вам от АД нужна только аутентификация, то зачем вам вообще АД?.. Раздать юзерам права на локальных машинах?

+3
раскрыть ветку 4
Аватар пользователя ventricola ventricola
0

Зачем вообще все, когда можно все не так? Объясните преимущества локальной аутентификации над централизованной, отказоустойчивость при неработающей сети? Побегать поудалять аккаунты для наработки рабочих часов при чьем-то увольнении? Деньги от лицензирования без АД опять же не попилить.

0
раскрыть ветку 1
sinn3r
+1

Я вообще не понял, о чем вы. Вы, видимо, тоже не очень поняли, о чем это я. Я говорю, что АД это не только аутентификация, а если вам нужна ТОЛЬКО аутентификация - что собственно и представляет собой решение из поста, то я не очень понимаю зачем вам вообще АД нужно - для какой-то нишевой задачки вроде "как мне сделать каждому юзеру учетку на его компе"?.. Обычно перед сисадмином стоит ряд задачек в этой области, например, права доступа на основе учетной записи, шары, политики в зависимости от OU или членства в группах, скрипты всяко-разные. Ведь ничего из этого указанный сервис предоставить, по идее, не могет.

+1
Naps2
0

Есть такая компания, на "Я" начинается на "ндекс" заканчивается. Ну вот там дажи макбуки которые сотрудникам выдаются включены в домен. Просто потомучто АД от МС - это вполне себе законченное решение не требующее никаких костылей и которое применимо к разным ОС.

0
раскрыть ветку 1
sinn3r
0

Честно говоря, у нас макбуки тоже включены в домен, и таки как раз для аутентификации и мониторинга. Но это не означает, что АД нам нужно только для аутентификации и мониторинга.

0
bvn13
+2
Запилил бы на хабр лучше
+2
Аватар пользователя seriyvolk77 seriyvolk77
0

ребят харе в какахах ковырять, там уже давно кубернетес и докер, асибл а вы все оркестрацию на коленке собираете

0
раскрыть ветку 2
JJoNN
0

О, гуру, скинь мануалов покурить на счет докера для долговременных пользователей. Реально есть задача стопицот компов отпускать с определенным софтом и настройкой в город, поселок, лес густой.

0
раскрыть ветку 1
Аватар пользователя seriyvolk77 seriyvolk77
0

не нужен тебе докер, юзай ансибл + опенлдап(это если авторизить)

0
Naps2
0

>В сети за много лет накопилось огромное количество свидетельств поиска страждущими способов добавления компьютеров с урезанными версиями Windows (Home, Starter и т.п.)


Но зачем?

0
раскрыть ветку 4
Naps2
+1

Я просто к чему. Ну вот вы компания, у вас есть целый домен (ну что в принципе означает что у вас в сети больше чем 2,5 калеки), неужели сложно купить нормальную винду? Если что, офис то стоит сопоставимых денег.


Ну хотя может это я зажрался.

+1
раскрыть ветку 1
Hertan
0

Все верно, сейчас в компании работаю где один алтернативно одаренный наставил Pgina,  съэкономил копеечку на дельте цены home и pro, результат = проебано много человекочасов на эникейство и если эти часы перевести в деньги то получиться многократно больная сумма нежели "съэкономленная" Pgina

0
Аватар пользователя ventricola ventricola
-1

Ну там не знаю зачем, ноутбук с предустановленным стартером купили. Я ж не про зачем, а про то, что частично можно.

Зачем это, можно выяснить у страждущих - https://yandex.ua/search/?text=добавить%20windows%207%20home....

Мне больше интересна аутентификация в произвольном LDAP, например.

-1
раскрыть ветку 1
Naps2
+3

опять таки, я наверное зажрался, но в бюджет на покпу ноута на компанию я таки включаю покупку винды профессионал. и офиса.

+3
crystalsword
0

Блядь. А НАХУЯ мне в  AD машина, которой я не могу рулить с помощью GPO?


Вы вообще так-то не путайте службу каталогов LDAP (часть функций которой несет AD в домене) и службу аутентификации (NTLM или Kerberos) и Samba, которая вообще-то протокол доступа к файловым ресурсам, клон CIFS...


Понаберут админов...

0
раскрыть ветку 16
Aquen
+2
Самба в качестве контроллера работает, а протокол доступа к файлам - smb. Ldap - это вообще протокол, служба каталогов микрософта - ad ds.
Понабрали админов, терминов не знают...
+2
раскрыть ветку 12
crystalsword
-3

О, красноглазики подтянулись.


Samba — пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS.


Common Internet File System, Единая Файловая Система Интернета) — сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия. Является первой версией протокола SMB (Server Message Block).


Протокол LDAP (Lightweight Directory Access Protocol, упрощенный протокол доступа к каталогу) — бинарный клиент-серверный протокол прикладного уровня, предназначенный для доступа к распределенной службе каталогов через Интернет. Этот протокол может использоваться как в качестве шлюза к любым X.500-совместимым каталогам так и в качестве основного сервиса каталогов. Спецификация текущей версии (LDAP v3) приведена в RFC 4510.


Учи матчасть, студент,  пока мне не лень сюда вики пастить.

-3
раскрыть ветку 11
Аватар пользователя ventricola ventricola
0

Что там где напутано? Вот Samba, например, протокол, клон или программный пакет?

Протокол чего? RFC Есть? Клон чего? Для чего? У меня теперь столько вопросов.

0
раскрыть ветку 2
Аватар пользователя strelok1394 strelok1394
0

по самбе человек попутал, так как видать не знает что четвертая самба может эмулировать ад. по остальному все верно, данное приложение по сути бесполезно, так как в малых сетях можно тупо локальных пользователей завести, а в крупных отказ от групповых политик есть большая глупость. это как админить 100+ хостов без использования аркестрации

0
раскрыть ветку 1
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: