Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 08-10-2013 13:22:38

dcpc007
Membre
Inscription : 02-05-2013

Centralisation comptes linux dans env existant avec AD déjà en place.

Bonjour,

Je suis dans un environnement majoritairement Windows (98% postes de travail et 70% serveurs) avec un AD en place qui vient d'être migré et remis à jour.
Les DNS et DHCP sont installés avec l'AD.
"L'équipe" Windows est plutôt indépendante de l'équipe linux (que moi :) ).
Je n'ai pas actuellement de droits sur l'AD en écriture (logiquement et volontairement).
Il n'y a pas de grand expert LDAP/AD ici (d'où le point précédent : comme ça, je risque pas de problème non réparable :o) ).

Côté unix/linux l'infra est super vieille, avec pour la centralisation juste un NIS de 10 ans de vécu sans suivi sur une solaris 8 que j'aimerai virer à terme.

Mais j'aimerai aussi commencer une nouvelle infra plus propre pour les nouveaux serveurs, à commencer par une gestion centralisée des comptes users principalement, en reprenant aussi les besoin d'automount actuels.
Je n'ai jamais travaillé avec du LDAP et ça ne semble pas un sujet qui s'aborde en 2h entre 2 projets à priori. Je pensais donc remettre un NIS, mais sur l'IRC on m'a plutôt indiqué que c'était dépassé maintenant. Du coup je ne sais pas trop quoi faire.

Côté comptes users : la plupart ont du coup un double compte avec login identique (côté windows AD et linux NIS, qui facilite l'accès aux stockages en réseaux via netapp qui sait du coup facilement les associer).
Il me reste quelques comptes historiques à conserver de l'ancienne-ancienne infra et qui sont en doublon d'un compte actuel (le user à donc 2 comptes linux), pour ceux-là) j'envisageais une solution peut-être un peu "crade" à terme : créer un alias sur le même UID, mais après avoir retrouvé et réaffecté toutes les données des 2 comptes.

Sinon pour la centralisation du coup j'ai vu 2 solution radicales et une séries de solutions qui sembleraient plus mixtes :
en radical :
*** tous les comptes linux (sauf root et comptes systèmes locaux bien sûr) sont gérés par l'AD.
- différentes configs de gestion de cette authentification semble possibles (bind, kerberos,.. mais plutôt perdu car jamais géré ça en fait).
- dépendance complète de l'AD avec inconvénient : peur aussi que les équipes windows ne voient pas toujours les implications pour linux s'ils modifient quelque chose sans me prévenir...), je vais avoir besoin d'un accès en écriture sur l'AD, et même besoin de faire pour certaines op des modifications de schéma (sans en connaître les conséquences).
avantage : un seul compte pour tout gérer et un seul mot de passe !

*** un serveur ldap indépendant pour linux
- pas d'interaction ni dépendance avec l'AD, mais du coup, tout à définir en double (machines, comptes, password).
- inconvénient : pas de connaissance en ldap et à priori même pour une structure simple il faut savoir préparer son schéma ldap à l'avance.
- inconvénient mineur : sera-t-il possible de fournir un moyen de lecture voir gestion des infos de openldap pour des admin windows ne connaissant pas linux (genre GUI ou web avec du clic clic :) )


en mixte :
Il semblerait possible d'avoir des solutions intermédiaires du genre :
- installer un serveur ldap mais qui réplique l'AD (cumule les avantages et surtout les inconvénients des 2 solutions)
- installer un serveur ldap, l'intégrer dans l'ad mais "dans une sous-partie" avec des droits uniquement sur celle-ci (semble intéressant si ça permet de mieux identifier la partie linux et que je risque moins d'impacter l'AD pour windows en cas de modif), mais aucune autre info sur ce genre de config.
- installer un serveur ldap et importer/synchro les données de l'AD nécessaires, puis rajouter que dans openldap les infos supplémentaires pour linux (pas de doc trouvée, juste l'idée mentionnée).
- autres choix ??

Donc voila, malheureusement énormément de questions pour un sujet si central et qui touche tant de domaines, et je me retrouve seul sur ce sujet dans mon entreprise, n'y ayant aucune autre ressource sur Linux...

Les autres points rapides que je me pose aussi sans savoir lesquels sont bloquant ou juste anecdotiques :
- nom de domaine côté linux si on mets un ldap (identique ou obligatoirement différent)
- nom de domaine configuré localement pour les machines (genre dans /etc/hosts), vis à vis du DNS actuel d'un éventuel LDAP,...
--> actuellement il y a des config aussi bizarre que des noms sans domaines, ou avec anciens domaines en local + une référence dans le NIS/map hosts avec parfois un ancien domaine nis encore mentionné + entrée DNS manuelle côté windows avec le domaine AD (et bien sûr des variantes de ces 3 cas selon l'année, s'il pleuvait le jour de l'install ou si la machine a café marchait ou pas je dirais vu l'état actuel).
- liaison avec le DNS installé avec l'AD (actuellement les linux sont gérés entièrement à la main (=> souvent obsolètes)
- problème du dhcp installé avec l'AD et un seul réseau IP présent => non recommandé d'en installer un pour mettre en place un outils/méthode de déploiement sous linux.
- qu'est-ce que j'ai raté dans les points à préparer....

Merci d'avance ne serait-ce que pour la lecture de ce post un peu désespérant (voir désespéré).

Edit : Quelques infos sur l'environnement quand même
- AD : win2k8
- Linux : déjà des RHEL/centos en 5et 6 imposés, j'espère des Debian pour la partie n'hébergeant pas d'appli "pro" payante avec support ne prenant pas en compte Debian.
- Anciennes linux/unix : Suse 9 à 11, RHEL 3 à 4, quelques vieux Sun8, AIX 5.2/5.3 et quelques aliens qui trainent (un ubuntu 8 retrouvé éteint depuis 2 ans, mais utile :) )

Dernière modification par dcpc007 (08-10-2013 13:26:56)

Hors ligne

#2 08-10-2013 16:15:48

deuchdeb
Moderato ma non troppo
Lieu : Pays de Cocagne
Distrib. : Jessie 8 + backports
Noyau : linux-image-3.16
(G)UI : KDE4.14 - Mate
Inscription : 13-01-2010

Re : Centralisation comptes linux dans env existant avec AD déjà en place.

Bonjour,

Voilà un bon sujet de réflexion. roll

Mais peut être que pour une aide efficace, il vaudrait mieux que tu crées un poste par question : un problème = un sujet à traiter .

Ceci dit maintenant on connait ta problématique.

Hors ligne

#3 09-10-2013 10:49:23

dcpc007
Membre
Inscription : 02-05-2013

Re : Centralisation comptes linux dans env existant avec AD déjà en place.

Bonjour,

Je suis d'accord qu'un post/question est plus pratique, mais là en gros c'est quelle solution "dans les grandes lignes" choisir en fonction de tous les impacts que ce système va avoir dans le "nouveau SI" plus propre que j'aimerai monter, alors qu'en effet je n'ai pas les compétences, et que je dois me débrouiller seul car ici la mentalité n'est pas à ça (ça ne gêne même personne de ne pas avoir une liste complète de machines à jour pour dire ...).

Et plus je regarde plus le choix semble complexe en voyant par exemple des solutions comme samba en tant que contrôleur de domaine !? pour moi samba je ne l'ai utilisé que basiquement pour faire un partage entre le monde linux et windows. Mais du coup je suppose que ça devrait générer tout un lot de question en plus par exemple smile

Hors ligne

#4 09-10-2013 10:52:39

dcpc007
Membre
Inscription : 02-05-2013

Re : Centralisation comptes linux dans env existant avec AD déjà en place.

Sinon pour orienter les choix un peu plus, j'ai tendance à penser que au vu de l'organisation actuelle, je n'ai pas envie :
1°) d'avoir un droit en écriture sur l'AD
2°) de dépendre à 100% des admins windows/ad pour créer un compte ou faire des modifications
3°) risquer que les admins windows/ad fassent des modifs qui impactent l'env linux sans y penser (vu que déjà je peux me brosser pour être mis au courant quand on clone une mv linux et qu'on la rajoute dans le SI ...)

Du coup la solution radicale du tout AD ne m'enchante guère, à moins que les autres solutions soient vraiment trop lourdes à mettre en place.

Hors ligne

Pied de page des forums