https://www.opennet.ru/openforum/vsluhforumID14/2783.html Имеется около 260 виртуальных linux машин. 95% на ubuntu server и какая то небольшая часть на centos. Стоит задача - управлять всем этим парком Собирать информацию, предоставлять к ним доступ по аналогии с Windows машинами - через группы доступа. В данный момент авторизация происходит через SSH ключи распространяемые git+ anslble. Машины могут быть расположены в разных цодах, но у всех есть сетевая видимость друг друга. Кто как решал данную задачу? Возможно ли их включить в домен Active Directory ? С одним ньюансом. Названия этих машин далеко выходят за 15 символов в домене и переименовывать их уже никто не будет так как они используются в продуктовой среде. О том чтобы собрать их в одном месте на момент их заведения никто не задумывался. Наименования по типу machine1-clickhouse01.prod.clickhouse.domain.local . Есть ли решения или направьте в нужном направлении.<br> https://www.opennet.ru/openforum/vsluhforumID14/2783.html#6 Tue, 21 Oct 2025 05:41:07 GMT FreeIPA = Kerberos + LDAP + всякое другое без ограничений NetBIOS.<br><br>У них в LDAP tree уже есть место под SSH ключи.<br><br> https://www.opennet.ru/openforum/vsluhforumID14/2783.html#5 Fri, 05 Sep 2025 09:09:01 GMT Лдап, по идее, должен помочь - вероятно, с керберосом для аутентификации.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID14/2783.html#4 Tue, 02 Sep 2025 10:11:20 GMT &gt;[оверквотинг удален]<br>&gt; машинами - через группы доступа. В данный момент авторизация происходит через <br>&gt; SSH ключи распространяемые git+ anslble. Машины могут быть расположены в разных <br>&gt; цодах, но у всех есть сетевая видимость друг друга. Кто как <br>&gt; решал данную задачу? Возможно ли их включить в домен Active Directory <br>&gt; ? С одним ньюансом. Названия этих машин далеко выходят за 15 <br>&gt; символов в домене и переименовывать их уже никто не будет так <br>&gt; как они используются в продуктовой среде. О том чтобы собрать их <br>&gt; в одном месте на момент их заведения никто не задумывался. Наименования <br>&gt; по типу machine1-clickhouse01.prod.clickhouse.domain.local . Есть ли решения или направьте <br>&gt; в нужном направлении.<br><br>ну и задачи инвентаризации сильно далеки от задач разграничения доступа, с инвентаризацией наверное лучше юзать под эту задачу написаным софтом, ну, или если что-то сильно странное snmp коллектор + snmp сервер + скрипты<br> https://www.opennet.ru/openforum/vsluhforumID14/2783.html#3 Tue, 02 Sep 2025 10:08:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; в нужном направлении.<br>&gt;&gt; доступ-то надо организовать через ssh? просто с политиками?<br>&gt; да. чтобы пользователь домена AD из определенной группы доступа мог попасть на <br>&gt; linux сервер с нужными правами. админы естественно с sudoers. но ограничения <br>&gt; на полноценный ввод в домен самой машины накладывает ее слишком длинное <br>&gt; наименование. в kubernetes почти все машины с очень длинными наименованиями превышающие <br>&gt; стандарты NetBIOS. и если они будут добавляться их название будет усекаться. <br>&gt; а вторая третья машины с похожими наименованиями не добавится вовсе. надо <br>&gt; как то обойти это ограничение. и выработать какое то решение по <br>&gt; их инвентаризации.<br><br>тебе нужен https://github.com/gravitational/teleport и его настройка, но лучше сразу отказаться от ad и перейти на keycloak (возможно с интеграцией в ад)<br><br> https://www.opennet.ru/openforum/vsluhforumID14/2783.html#2 Tue, 02 Sep 2025 08:13:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt; SSH ключи распространяемые git+ anslble. Машины могут быть расположены в разных <br>&gt;&gt; цодах, но у всех есть сетевая видимость друг друга. Кто как <br>&gt;&gt; решал данную задачу? Возможно ли их включить в домен Active Directory <br>&gt;&gt; ? С одним ньюансом. Названия этих машин далеко выходят за 15 <br>&gt;&gt; символов в домене и переименовывать их уже никто не будет так <br>&gt;&gt; как они используются в продуктовой среде. О том чтобы собрать их <br>&gt;&gt; в одном месте на момент их заведения никто не задумывался. Наименования <br>&gt;&gt; по типу machine1-clickhouse01.prod.clickhouse.domain.local . Есть ли решения или направьте <br>&gt;&gt; в нужном направлении.<br>&gt; доступ-то надо организовать через ssh? просто с политиками?<br><br>да. чтобы пользователь домена AD из определенной группы доступа мог попасть на linux сервер с нужными правами. админы естественно с sudoers. но ограничения на полноценный ввод в домен самой машины накладывает ее слишком длинное наименование. в kubernetes почти все машины с очень длинными наименованиями прев https://www.opennet.ru/openforum/vsluhforumID14/2783.html#1 Tue, 02 Sep 2025 07:06:14 GMT &gt;[оверквотинг удален]<br>&gt; машинами - через группы доступа. В данный момент авторизация происходит через <br>&gt; SSH ключи распространяемые git+ anslble. Машины могут быть расположены в разных <br>&gt; цодах, но у всех есть сетевая видимость друг друга. Кто как <br>&gt; решал данную задачу? Возможно ли их включить в домен Active Directory <br>&gt; ? С одним ньюансом. Названия этих машин далеко выходят за 15 <br>&gt; символов в домене и переименовывать их уже никто не будет так <br>&gt; как они используются в продуктовой среде. О том чтобы собрать их <br>&gt; в одном месте на момент их заведения никто не задумывался. Наименования <br>&gt; по типу machine1-clickhouse01.prod.clickhouse.domain.local . Есть ли решения или направьте <br>&gt; в нужном направлении.<br><br>доступ-то надо организовать через ssh? просто с политиками?<br><br>