Назад | Перейти на главную страницу

Домен Windows + домен Linux в одной сети

В настоящее время наша сеть привязана к Active Directory с рабочими станциями / серверами как Windows, так и Linux. Мы хотели бы реализовать бесплатный IPA-сервер, который синхронизирует аутентификацию между доменом Linux (например: linux.my.domain) и доменом Active Directory (win.my.domain). Несмотря на то, что существует множество решений для аутентификации Windows + Linux, AD и бесплатный IPA (IdM) - это требование наших клиентов.

Как лучше всего настроить эти серверы с DNS и DHCP? Сетевой трафик должен иметь возможность обмениваться данными (например: машины Linux могут пинговать машины Windows). Мы думали, что нам понадобятся два отдельных DNS-сервера, подключенных к DHCP-серверу с двумя сетевыми адаптерами. Используя разные подсети, DHCP-сервер будет знать, куда направлять машины на соответствующие DNS-серверы.

Надеюсь, я вас не запутал. Если так, я все еще пытаюсь сформулировать план. Я просто хотел узнать, делал ли кто-нибудь это раньше. Заранее спасибо за совет!

Как лучше всего настроить эти серверы с DNS и DHCP?

Здесь не должно происходить ничего особенного. Нет необходимости различать клиентов Windows и Linux. Направьте своих клиентов на DNS-преобразователь, который имеет делегированную зону для клиентов AD, указывающую на ваши DNS-серверы AD, и делегированную зону для серверов Linux, указывающих на ваши DNS-серверы Linux.

Мы думали, что нам понадобятся два отдельных DNS-сервера, подключенных к DHCP-серверу с двумя сетевыми адаптерами. Используя разные подсети, DHCP-сервер будет знать, куда направлять машины на соответствующие DNS-серверы.

Это сбивающее с толку заявление. DHCP-серверы ничего не «маршрутизируют». Тем не менее, как я упоминал выше, нет необходимости, по крайней мере, с точки зрения DNS, разделять ваши машины. Иногда рекомендуется разделить Windows и Linux-машины по другим причинам (безопасность, администрирование, брандмауэр и т. Д.), Но это другая тема, чем вы спрашиваете.

Что касается конфигурации DNS, просто убедитесь, что ваши AD и FreeIPA работают в разных доменах и сферах. Если вы запустите FreeIPA в том же домене, что и ваш AD, вы никогда не сможете установить косвенную интеграцию AD с AD трасты.

Дополнительные рекомендации по развертыванию на FreeIPA вики.