> То что гуглу не нужно AD это вообще ничего не значит.AD не нужно, а службу каталогов не своей разработки используют.
IBM вообще купила разработчика службы каталогов.
> Не понятно как такое применяется, например к крупному Retail-у или производству на заводе.
Ретейл или выбирает удобный продукт, или создает свой. Пример последнего питерская компания по производству упаковок из картона.
> Поддержка просовывания атрибутов прямо внутрь билетов Kerberos (это функционал 5-й версии протокола) приводят чуть ли не к удваиванию требуемы ресурсов
Вернемся к примеру Exchange. Пользователь еще ни разу мог не логинится в данном сервисе, но почтовый ящик там создается сразу, чтобы на него приходили письма, если для пользователя задан атрибут email. Это нормальное поведение всех почтовых сервисов. А если вспомнить, что DDoS на AD возможен через DDoS спамом на несуществующие ящики Echange, то становится ясно, что до kerberos дело вообще не доходит, так как механизмы авторизации и аутентификации вообще не используются.
> Кроме того она не часто происходит, если у вас ОС поддерживает Kerberos.
OVA с Android, IOS, Web-броузера из внешней сети прямо так kerberos поддерживает и берет, который берет из астрала.
В Linux безотносительно FreeIPA/AD вы не можете предъявить закешированный TGT для получения TGS, поэтому если у вас много сервисов завязанных на Kerberos..
То внезапно, в Linux в сервисах SMB, NFS (только для FreeIPA), SSH, WebDAV-mount, прекрасно работают c кэшированными тикетами Kerberos. Броузеры и почтовые клиенты - да, не работают. В некоторых клиентах этот механизм сломали с 72 версии.
> Чтобы решить это в Linux нужно выкинуть PAM, потому что эта подсистема не способна by-design понять некоторые вещи.
Ну да. PAM может открывать менеджер паролей Gnome механизмом SSO, а работать с kerberos не может.
По-моему, вы свои знания по Linux получили, читая балмеровский гет зи фактс...
> В основном имеющаяся схема и здравый смысл.
То есть, привычка чистить зубы через задний проход и считать, что это нормально. Ибо вся аргументация ваша сводится к подобной логике.
> А ты предлагаешь пихать группы в группы, когда группы имеют одинаковые названия а потом этой кашей рулить?
Это где в AD можно создать группы с одинаковыми названиями даже в разных OU? Это запрещено делать, так как даже поиск прав пользователей для применения правил безопасности происходит по (&(objectClass=group)(sAMAccountName=somegroup)).
> Да всем начхать на эту скорость, если функционал не подходит.
Какой функционал? Случаем не тот, который стягивает весь домен, чтобы определить чужие группы?
> Синхронизация притянет много всего и OU выступает в роли контейнера.
Зашибись! Притягивать весь домен в OU, вместо того, чтобы просто сделать запрос в тот домен при необходимости. Чтобы потом, когда на двух кд нижестоящего домена CN-ы разъехались из-за той же проблемы связанности сети, то вышестоящий домен просто сломается сам или добьет нижестоящий домен, а скорее всего завалит весь лес. Именно поэтому крупные IT-компании отказались от леса, как о кривой структуре. И даже уже MS лет 10 как говорит, что вместо леса нужно использовать доверие с правильным экспортом групп. Ну да, разрабочик же AD тоже дурак, если говорит, что лес - это ошибка.
> Вот за такой вот бред FreeIPA и всё её сообщество не во что не ставят.
Сам придумал бред, сам в него поверил, сам теперь доказываешь, что это бред!