상태:

tag-icon tag-icon linux ubuntu domain gateway
상태:

상태:

Linux 전용 환경(아마도 2개, SOHO 및 홈 시스템)을 설정 중인데 도메인 서비스에 참여하는 Windows 시스템이 없을 것이라고 확신합니다(DHCP/DNS 및 인터넷 액세스가 필요한 게스트가 부족함). . 서버(베어메탈) 외에도 데스크탑 1대와 노트북 2대(데스크톱에서 실행되는 VM 서버 3대, 프로덕션용 1대, 웹 기반 ERP/CRM/CMS(및 함께 제공되는 RDBMS))가 있습니다. CMS 업데이트를 준비하기 위한 샌드박스와 시스템 업데이트를 프로덕션 서버로 보내기 전에 테스트하기 위한 샌드박스입니다. 내가 아는 한, 참여가 고려될 수 있는 유일한 다른 장치는 Chromebook 2대(공유 프린터 사용 가능)와 Android 휴대전화 3대(도메인 서비스 사용 가능성은 더욱 낮음)입니다.

다른 모든 장치에는 DHCP/DNS 및 인터넷이 필요할 수 있습니다. 여기에는 WiFi AP, Google Mini, Chromecast와 같은 '스마트 홈' IoT, 스마트 소켓/스위치, 알람, IP 보안 카메라/NVR 등이 포함됩니다.

현재 내 ERP/CRM/CMS 애플리케이션은 해당 MariaDB/PostgreSQL 데이터베이스에 대해 사용자를 인증합니다. MariaDB 관리자는 자체적으로(MySQL 데이터베이스 테이블 또는 MyPHPAdmin 데이터베이스 테이블) 인증하는 반면, PostgreSQL 관리자는 로컬 UNIX 사용자 로그인에 대해 인증합니다(즉, 먼저 SSH를 통해 시스템에 로그인하는 것을 의미하며 웹 인터페이스는 없습니다).

현재 애플리케이션 사용자 프로비저닝/관리는 애플리케이션별, 사용자별로 수행되며, 각 애플리케이션 사용자는 애플리케이션의 데이터베이스에 나열됩니다. 대부분의 애플리케이션에서는 사용자가 RADIUS, Kerberos 또는 LDAP 서비스에 대해 인증할 수 있습니다.

하드웨어

서버 상자는 2GiB RAM을 갖춘 구형 HP Compaq dc7700 SFF 64비트 Pentium D입니다. (예전에는 하나였지만 업그레이드했습니다.) 게다가 80GB 하드 드라이브. BIOS 전용(UEFI 없음). 원래는 WinXP Pro를 실행 중이었지만 누군가 Dell Windows Vista Business OEM을 설치했습니다. 온보드 Intel 비디오 및 GbEth NIC.

과거에 그들이 뭐라고 말했습니까? "Linux! 386을 낭비하는 것은 끔찍한 일이기 때문입니다. ;-)

연구

지금까지 살펴본 모든 것(Ubuntu 사이트 포함)에서는 Windows Server AD를 사용하고 Linux 시스템을 여기에 연결하는 방법을 알려주는 것 같습니다.아니요또는 Samba4를 AD로 사용하고 Windows 상자를 여기에 연결합니다. (저는 이것이 모든 것을 처리하기 때문에 "쉬운" "표준" 방식이라고 항상 들어왔습니다.) 저는 실제로 두 기술 모두에 익숙하며 필요하지 않은 것을 설치하는 데 관심이 없습니다. 저는 OpenLDAP 및 필요한 지원 서비스를 사용하는 Linux(또는 BSD) F/LOSS 솔루션에 더 관심이 있습니다.

제가 직접 읽고 이해한 바에 따르면 다음 항목을 모두 별도로 설치/구성해야 합니다. 

  1. DHCP(isc-dhcp-서버)
  2. DNS(bind9, dnsutils)
  3. LDAP(OpenLDAP → slapd, ldap-utils)
  4. Kerberos(krb5-kdc/krb5-kdc-ldap, krb5-admin-server, [schema2ldif, krb5-kdc-ldap용])
  5. TLS(gnutls-bin, ssl-cert) [비밀번호의 일반 텍스트 전송 방지]
  6. CUPS [프린터 공유용, 인쇄 서버에서]
  7. NFS(nfs-kernel-server) [파일 서버의 파일 공유/네트워크 홈 디렉터리용]
  8. LAMP 서버(apache2, mariadb-server, php 등) [필요한 경우 웹 인터페이스 관리용]
  9. OpenSSH(필요한 경우 CLI 관리용)
  10. OpenVPN [Linux 노트북을 사용하여 웹 기반 ERP/CRM에 원격으로 액세스하는 경우에만]

(...물론 RADIUS 등과 같은 기타 필요한 서비스도 포함됩니다.)

걱정하다

이 10단계 옵션을 구성/관리하는 것은 엄청난 고통이 될 것이라고 들었습니다. 또한 이러한 작업을 위해 특별히 설계된 배포판과 같은 다른 옵션이 있다는 말을 들었지만 모든 서버/데스크톱/노트북을 동일한 플랫폼(Ubuntu 20.04 LTS)에 유지하고 싶습니다.

왜 Samba4가 아닌가? 인증을 위해 LDAP를 사용할 수 있는 일부 응용 프로그램이 있지만 MS AD/Samba4 AD LDAP에 사용되는 LDIF 스키마는 이에 충분하지 않아 실패할 것이며 OpenLDAP는 MS/Samba4 AD와 호환되지 않는다는 것입니다. NT4 PDC/BDC 모드에서는 권장되지 않습니다.

질문:

  1. 10단계 절차가 실제로 Ubuntu Server 20.04 LTS에서 실행되도록 하는 유일한 방법입니까(Samba4 사용을 피하려는 경우)?
  2. 10단계 절차를 더 쉽게 구현/관리할 수 있게 해주는 Ubuntu 20.04 LTS(Samba4 외에)용 관리 애플리케이션이 있습니까?

이에 대해 누군가 나에게 몇 가지 깔끔한 요령을 가르쳐 주지 않는 한 사람들은 크롬북과 스마트폰을 도메인의 일부로 무시할 수 있습니다.

관련 정보