В настоящее время наша сеть все связывается с Active Directory и с Windows и с рабочими станциями/серверами Linux. Мы хотели бы реализовать Свободный сервер IPA, который синхронизирует аутентификацию между доменом Linux (например: linux.my.domain) и домен Active Directory (win.my.domain). В то время как существует несколько решений для аутентификации Windows+Linux, AD и Свободный IPA (IdM) является требованием наших клиентов.
Что лучший способ состоит в том, чтобы настроить эти серверы с DNS и DHCP? Сетевой трафик должен смочь связаться (например: машины Linux могут проверить с помощью ping-запросов машины окон). Мы думали, что нам будут нужны два отдельных сервера DNS, подключенные к серверу DHCP с двумя NICs. Используя различные подсети, сервер DHCP знал бы, где направить машины к их соответствующим серверам DNS.
Надо надеяться, я не смутил Вас. Если так, я все еще пытаюсь сформулировать план. Я просто хотел видеть, делал ли кто-либо когда-либо это прежде. Спасибо за совет заранее!
Что касается конфигурации DNS, пожалуйста, просто убедитесь, что ваш AD и FreeIPA работают в разных доменах и сферах. Если вы запустите FreeIPA в том же домене, что и ваш AD, вы никогда не сможете установить непрямую интеграцию AD с доверительными отношениями AD .
Дополнительные рекомендации по развертыванию на вики FreeIPA .
]Как лучше всего настроить эти серверы с помощью DNS и DHCP?
Там здесь не должно происходить ничего особенного. Нет необходимости различать клиентов Windows и Linux. Направьте своих клиентов на преобразователь DNS, который имеет делегированную зону для клиентов AD, указывающую на ваши DNS-серверы AD, и делегированную зону для серверов Linux, указывающих на ваши DNS-серверы Linux.
Мы думали, что нам понадобится два отдельных DNS-сервера, подключенных к DHCP-серверу с двумя сетевыми адаптерами. Используя разные подсети, DHCP сервер будет знать, куда направлять машины на их соответствующий DNS серверов.
Это сбивающее с толку утверждение. DHCP-серверы ничего не «маршрутизируют». Тем не менее, как я уже упоминал выше, нет необходимости, по крайней мере с точки зрения DNS, разделять ваши машины. Иногда рекомендуется разделить компьютеры Windows и Linux по другим причинам (безопасность, администрирование, брандмауэр и т. Д.), Но это уже другая тема, чем вы спрашиваете.