Если Вы используете AD аутентификацию, Вашим фактическим автором является Kerberos, не LDAP. Пользовательские принципалы хранятся в LDAP, да, но подлинным шагом является Kerberos. Один только OpenLDAP не даст Вам четность функции (Единая точка входа) с AD. Необходимо будет соединить его с сервером Kerberos, таким как Хеймдаль или MIT Kerberos, для этого.
Это не простой или легкий процесс. Для организации любого размера это - что-то, что должно быть сделано MCSE с твердым дескриптором на архитектуре программного обеспечения предприятия и некотором опыте с операционными системами UNIXish.
Если у вас другая машина с вами с ограниченными ресурсами, тогда вы можете настроить pfsense для синхронизации всего с этой машиной, так что все время у вас будет 100% конфигурация синхронизации pfsense.
Кроме того, я бы не рекомендовал clonezilla, поскольку, без сомнения это очень хорошо, но дело в том, что в нем отсутствует очень важная функциональность, что вы не можете клонировать живую систему, вам нужно выключить систему, а затем клонировать.
Но когда PfSense уже предоставляет вам решение для клонирования в реальном времени с как минимум 1 другая машина, почему бы не использовать ее?
Если у вас идентичное оборудование и вы можете найти время для обслуживания (ночью), вы можете создать образ всего жесткого диска с помощью clonezilla и восстановить его на второй идентичной машине. Это намного быстрее, чем устанавливать и настраивать все вручную.
Я считаю, что «клонирование в реальном времени», о котором говорит Фрэнк, на самом деле запускает кластер CARP - наличие резервного блока, готового взять на себя управление в случае проблемы с основным. Для этого вам понадобится запасной ящик, а также запасной IP-адрес на стороне LAN и WAN для вторичного маршрутизатора, а затем еще один IP для виртуального IP-адреса CAP на каждой стороне. Работает очень хорошо - таблицы состояний синхронизируются, поэтому сеансы остаются открытыми, но при первом аварийном переключении машины с Windows 7 / Server 2008 обнаружат новую сеть из-за другого MAC-адреса для шлюза по умолчанию, и трафик может остановиться, пока машине не сообщат, - это домашняя / рабочая / частная сеть.
Вы можете создать автономный образ, используя что-то вроде Clonezilla или Acronis. Это должно работать, поскольку сборки * nix менее суетливы при перемещении из одного блока в другой, чем Windows - даже на форумах pfSense людям, у которых возникают проблемы при установке, рекомендуется удалить жесткий диск, установить с диском, подключенным к другой машине, а затем принести
Однако я обнаружил, что pfSense устанавливается довольно быстро, если у вас нет массивного жесткого диска. Я предпочитаю использовать функции резервного копирования / восстановления, упомянутые в вопросе, поскольку это означает, что файл, восстановленный в резервную копию, намного меньше.
Я предпочитаю использовать функции резервного копирования / восстановления, упомянутые в вопросе, поскольку это означает, что файл, восстановленный в резервную копию, намного меньше. Я предпочитаю использовать функции резервного копирования / восстановления, упомянутые в вопросе, поскольку это означает, что файл, восстановленный в резервную копию, намного меньше.http://doc.pfsense.org/index.php/Remote_Config_Backup предлагает использовать wget или платную учетную запись.
Для повторного развертывания установите PFSense и восстановите конфигурацию из резервной копии.