Nyt tarvittaisiin kanssaharrastajilta vähän autentikointiapua.
Minulla on tällainen kai keskimääräisen kokoinen kotiverkko, jossa on yksi 24/7 Debian palvelin ja ympärillä kaikenlaista muuta, mm. Raspeja, NAS, Win-työasemia jne. Samba tiedostojakoja on tarjolla muutamasta eri paikasta ja lisäksi tarjolla on käyttäjille erilaisia palveluja, kuten Nextcloud. Käyttäjiä ei nyt ole kuin sen perheellisen verran, mutta erilaisia autentikointi ja authorisointitarpeita on useammassa eri paikassa, mutta niihin ei tällä hetkellä ole mitään keskitettyä ratkaisua. Tavoitteena olisi nyt sitten, että käyttäjillä olisi (Linux-)palvelimissa ja Win-työasemissa yhdet käyttäjätunnukset ja salasana, esim. LDAP:ssa tallessa ja vielä mielellään niin, että keskitetysti voisi määrittää ryhmiä tai rooleja, joilla käyttöoikeustasoja voisi määrittää, siis esim. Samban eri kansiorakenteisiin. Lisäksi useassa palvelussa, esim. vaikka tuo Nextcloud, on LDAP-tuki, jonka mielelläni ottaisin käyttöön.
En nyt varsinaisesti kaipaa yksityiskohtaisia ohjeita, vaan enemmänkin mielipiteitä oikean backendin valintaan. Eli riittääkö tähän esim. pelkästään tuolla Debianissa pyörivä Samba, joka emuloisi AD:ta ja LDAPia, vai pitääkö/kannattaako sen perään vielä laittaa esim. OpenLDAP, jota Sambatkin käyttävät? Vai pitäisikö mennä suoraan täysverisempään IAM:iin, esim. OpenIAM? Vai ihan jotain muuta?
Samba 4.x versiolla on mahdollista pystyttää (teknisesti) täysiverinen Active Directory jonka Functional Level on Win2008R2. Tuommoseen kotikäyttöön pitäisi olla ihan toimiva, jos tarve on lähinnä saada keskitetty käyttäjienhallinta. Ainoa missä ehkä saattais tulla käytännön haasteita on DFS-R, jos sillä haluaa rakennella keskitettyä tiedostopalvelua, mutta eipä tuossa kotiverkossa varmaan mitään datan replikointitarpeita ole niin senkin voi skipata. Kaikki normi AD-työkalut esim Aduc ja GPO hallinta toimii heittämällä tuon Samba DC:n kanssa.
Sopimusteknisestihän taas Microsoft tukee Windows-työasemille pelkästään Windows Serverin päällä pyörivää AD:ta. Mutta tuskin availet mitään Premier-tukikeikkoja MS:lle oman kotiverkon haasteista niin euloilla voi pyyhkiä takapuolta. Niin ja jos ne koti winkkarit on nyt Home-versiota, sitä ei pysty liittämään AD:hen vaan pitää päivittää ensin vähintään Professional versioon, menee ihan heittämällä kun lykkää Pro version avaimen sisään.
Jos budjettia löytyy muutaman sadan euron edestä, vois tietty yksi vaihtoehto olla Windows Server Essentials.
Tuore 2019 versio ei enää ihan kamalasti kustanna. Pitäis siis onnistua ihan tavishenkilönä tuon hankinta, vaikka ne aina mainitseekin noissa että small business käyttöön. Saa myös
puolen vuoden trialin jossa ei ole mitään käyttörajoitteita (EDIT: ja "rearm" kikat toimii tässäkin jos haluaa lisäaikaa; ei ole karhuryhmä oven takana vaikka rearmia vetäisi maailman tappiin; tai vaikka uusi DC pannu aina 6kk välein pystyyn ja vanha dcpromolla mäkeen). Onhan se aina kätevämpi tietty hallinnan kannalta kun alla on puhdasverinen Windows Server. Ja hieman eri kliksutella next next finish dcpromossa, kun säätää SambaWikin ohjeilla sitä omaa distroa. Mutta tietty jos aikaa ja mielenkiintoa löytyy säätämiseen niin mikä ettei.
Linuxeja säätäessä kannattaa sitten katsoa että ohje on riittävän tuore, eli puhuu "sssd, adcli, realmd" paketeista, eikä jotain muinaista samba/winbind conffitiedostojen puukotteluja. Modernit distrot menee heittämällä AD:hen.
Niin ja ei ole täysin mutua, vaan yhden Samba DC härpäkkeen olen pystyttänyt erään keskikokoisen kunnan kiinteistöautomaatioverkkoon joka jäi "legacy" tasolle ja erinäisistä syistä päädyttin sitten semmoseen ratkaisuun että normi WinServer DC:n tilalle tehtiin Ubuntu jossa Samban DC. Tuossa oli tarpeena vain saada pidettyä automaatiopannuilla edelleen keskitetty kirjautuminen ja parilla perus GPO:lla vähän tiukennuksia. Hienosti pelitti ja käsittääkseni edelleenkin pyörii samalla setupilla. Tuosta on siis jo useampi vuosi kun pystyttelin, olikohan 2014.
EDIT2: niin ja olikin jo niin muinainen kun 2009, nyt kun tarkemmin muistelen. Eli Samban kolmosversiota. No eniveis, todistetusti siis on ihan mahdollista toteuttaa.
Samba DC:tä voi graafisesti käpistellä sitten millä tahansa Win10 työasemalla kun asentaa
RSATin. Tuossa tulee ne peruspalikat, esim. ADUC (eli dsa.msc). Powershell AD:sta en ole ihan varma. Se vaatii DC:llä "Active Directory Web Services" palvelun ja mahtaakohan Sambasta semmonen vielä löytyä.
Setting up Samba as an Active Directory Domain Controller - SambaWiki
