状態:
Linux専用環境(おそらく2つ、SOHO、およびホームシステム)を設定していますが、ドメインサービスに参加するWindowsシステムがないと確信しています(DHCP / DNSとインターネットアクセスが必要なゲストが不足しています)。 。サーバー(ベアメタル)に加えて、デスクトップ1台とラップトップ2台(デスクトップ上で実行される3台のVMサーバー、本番用1台、WebベースのERP / CRM / CMS(および付属のRDBMS))があります。 CMSアップデートを準備するためのサンドボックスと、システムアップデートを本番サーバーに送信する前にテストするためのサンドボックス。私が知っている限り、参加が考慮される唯一の他のデバイスは、Chromebook 2台(共有プリンタが利用可能)とAndroid携帯電話3台(ドメインサービスの利用可能性はさらに低い)です。
他のすべてのデバイスにはDHCP / DNSとインターネットが必要な場合があります。これには、WiFi AP、Google Mini、Chromecastなどの「スマートホーム」IoT、スマートソケット/スイッチ、アラーム、IPセキュリティカメラ/ NVRなどが含まれます。
現在、私のERP / CRM / CMSアプリケーションは、対応するMariaDB / PostgreSQLデータベースに対してユーザーを認証します。 MariaDB管理者はそれ自体(MySQLデータベーステーブルまたはMyPHPAdminデータベーステーブル)を認証しますが、PostgreSQL管理者はローカルのUNIXユーザーログインに対して認証します(つまり、最初にSSHを介してシステムにログインすることを意味し、Webインターフェイスはありません)。
現在、アプリケーションユーザーのプロビジョニング/管理はアプリケーションごと、ユーザーごとに行われ、各アプリケーションユーザーはアプリケーションのデータベースに一覧表示されます。ほとんどのアプリケーションでは、ユーザーはRADIUS、Kerberos、またはLDAPサービスに対して認証できます。
ハードウェア
サーバーボックスは、2GiB RAMを備えた古いHP Compaq dc7700 SFF 64ビットPentium Dです。 (以前は一つでしたがアップグレードしました。)しかも80GBハードドライブ。 BIOSのみ(UEFIなし)。もともとWinXP Proを実行していましたが、誰かがDell Windows Vista Business OEMをインストールしました。オンボードIntelビデオとGbEth NIC。
過去に彼らは何と言いましたか? 「Linux! 386を無駄にするのはひどいことだからです。;-)
研究
これまでに見たことのすべて(Ubuntuサイトを含む)は、Windows Server ADを使用してLinuxシステムをここに接続する方法を教えているようです。いいえまたは、Samba4をADとして使用し、Windowsボックスをここに接続します。 (私はこれがすべてを扱うので、「簡単な」「標準的な」方法だと常に入ってきました。)私は実際に両方の技術に精通しており、必要のないものをインストールすることに興味がありません。私はOpenLDAPと必要なサポートサービスを使用するLinux(またはBSD)F / LOSSソリューションに興味があります。
私が直接読んで理解したところによると、以下のすべての項目を別々にインストール/構成する必要があります。
- DHCP(isc-dhcp-server)
- DNS(bind9、dnsutils)
- LDAP(OpenLDAP→slapd、ldap-utils)
- Kerberos(krb5-kdc/krb5-kdc-ldap、krb5-admin-server、[schema2ldif、krb5-kdc-ldap用])
- TLS(gnutls-bin, ssl-cert) [パスワードのプレーンテキスト転送防止]
- CUPS [プリンタ共有用、プリントサーバーから]
- NFS (nfs-kernel-server) [ファイルサーバーのファイル共有/ネットワークホームディレクトリ用]
- LAMPサーバー(apache2、mariadb-server、phpなど)[必要に応じてWebインターフェースを管理する]
- OpenSSH(必要に応じてCLI管理用)
- OpenVPN [Linux ノートブックを使用して Web ベースの ERP/CRM にリモートでアクセスする場合のみ]
(…もちろん、RADIUSなどの他の必要なサービスも含まれています。)
心配する
この10段階のオプションを設定/管理することは非常に苦痛になると聞きました。また、これらの作業のために特別に設計されたディストリビューションなどの他のオプションがあると聞きましたが、すべてのサーバー/デスクトップ/ノートブックを同じプラットフォーム(Ubuntu 20.04 LTS)に維持したいと思います。
なぜSamba4ではないのですか?認証にLDAPを使用できるアプリケーションがいくつかありますが、MS AD / Samba4 AD LDAPに使用されるLDIFスキーマはこれには不十分で失敗し、OpenLDAPはMS / Samba4 ADと互換性がありません。 NT4 PDC/BDC モードでは推奨しません。
質問:
- ステップ10の手順が実際にUbuntu Server 20.04 LTSで実行されるようにする唯一の方法ですか(Samba4を使用しない場合)。
- ステップ10手順をより簡単に実装/管理できるようにするUbuntu 20.04 LTS(Samba4以外)の管理アプリケーションはありますか?
これについて誰かが私にいくつかのきちんとしたコツを教えていない限り、人々はChromebookとスマートフォンをドメインの一部として無視できます。