¿Es viable Samba 4 AD con una infraestructura Azure/365?

Lecbee · 12 de mayo de 2022 - 21:02

Hola,

soy administrador de sistemas y redes en una PYME (~300 personas en todo el mundo). Nuestra infraestructura está bastante orientada a Microsoft, aunque también tenemos bastante Linux.

Contamos con una infraestructura de Active Directory algo anticuada... y pronto tendremos un proyecto de actualización.

Pero desde hace años, sueño con migrar todo a Samba.

Sin embargo, soñar no basta; tenemos que afrontar la realidad. La realidad es que actualmente dependemos mucho de Azure (Office 365, Teams, Exchange Online, etc.) debido a factores históricos y también porque tenemos que adaptarnos a nuestros clientes. Abandonar estas herramientas es impensable.

Actualmente, nuestro AD está sincronizado con Azure. Así que mi pregunta es muy sencilla: antes de hablar de Samba 4 AD con el resto de mi equipo, ¿ es compatible una infraestructura de Samba 4 AD con Azure, etc.?
Si claramente no es posible, al menos sabré que puedo seguir adelante.

¿O solo es posible con soluciones alternativas? ¿O está claramente soportado y ofrecen soporte para este tipo de arquitectura?

Gracias.

17 de mayo de 2022 - 15:41

Hola lecbee,

Lecbee escribió: ↑12 de mayo de 2022 - 21:02 Soy administrador de sistemas y redes en una PYME (~300 personas en todo el mundo). Nuestra infraestructura está actualmente bastante orientada a Microsoft, aunque hay una buena cantidad de Linux aquí y allá. Tenemos una infraestructura de Active Directory que ya tiene sus años... y un proyecto de actualización próximo.

Pero desde hace años, he soñado en secreto con migrar todo a Samba. Pero soñar no es suficiente; tenemos que afrontar la realidad. La realidad es que actualmente dependemos mucho de Azure (bueno, Office 365, Teams, Exchange Online, etc.) debido a factores históricos y también porque tenemos que adaptarnos a nuestros clientes. Abandonar estas herramientas es simplemente inconcebible.

Nuestro AD está actualmente sincronizado con Azure. Así que mi pregunta es muy simple: antes de discutir Samba 4 AD con el resto de mi equipo, ¿ es una infraestructura Samba 4 AD compatible con Azure, etc.? Si
es claramente un no, al menos sé que puedo seguir adelante. ¿O solo es posible mediante soluciones alternativas? ¿O, por el contrario, cuenta con soporte oficial y ofrecen asistencia para este tipo de arquitectura?

Es posible modificar la instalación de Azure AD Connect para que se sincronice directamente con Azure AD. Sin embargo, dado que Samba no es compatible actualmente con las gMSA (cuentas de servicio administradas por grupo), se requieren algunas soluciones alternativas [1]. No me convence, pero a algunos usuarios les funciona.

Otra opción es mantener un Microsoft Active Directory (no visible para las estaciones de trabajo) solo para la sincronización de Azure AD; funciona, pero no me convence mucho. Hay que prestar mucha atención a las definiciones de sitio y a las configuraciones del firewall.

La otra opción es implementar scripts de sincronización en Python (puedes buscar un ejemplo para inspirarte en Gapps GitHub [2]). Esto funciona bien, pero Microsoft no ha publicado la API para cambiar contraseñas usando el hash de NT. De hecho, la única forma de actualizar una contraseña es enviarla en texto plano (por lo que solo es posible cuando el usuario cambia su contraseña, pero no después). El hash que usa Azure es un derivado pbkdf2 del hash de NT, por lo que se puede reproducir, pero no se puede enviar.

Una forma de enviar la contraseña es utilizar el parámetro smb.conf script de verificación de contraseña.

Así que, si te motiva Samba-AD, es posible. Si el problema es solo la compra de la licencia, no es necesariamente el factor decisivo. Samba-AD es mucho más fácil de mantener a lo largo del tiempo y de proteger. Ahí es donde realmente se gana en coste y productividad.

Atentamente,

Denis

[1] https://wiki.samba.org/index.php/Sincronización_de_Azure_AD
[2] https://github.com/baboons/samba4-gaps

Lecbee · 31 de mayo de 2022 - 19:44

Buenas noches,

muchas gracias por su respuesta; me ayuda a comprender mejor las limitaciones y posibilidades.

A primera vista, la solución de un Directorio Activo de Microsoft conectado a Azure parece la más "limpia". Sin embargo, desconozco sus limitaciones. Usted mencionó que no le convence.
He investigado un poco más por mi cuenta y, al parecer, Samba 4 aún carece de bastantes funcionalidades de las últimas versiones de Directorio Activo (2012/2016/2019), así que, ¿será esto una limitación en este caso? No lo sé.

Por otro lado, ¿Tranquil-IT también ofrece soporte para el uso compartido de archivos (SMB/CIFS) de Samba (en el caso de usar un servidor de archivos Samba)? ¿
O solo para el Directorio Activo de Samba?

1 de junio de 2022 - 15:51

Lecbee escribió: ↑31 de mayo de 2022 - 19:44 A primera vista, la solución de conectar Microsoft AD a Azure parece la más "limpia". Pero desconozco las limitaciones de esta solución. Dices que no te convence.
He investigado un poco más por mi cuenta y, al parecer, Samba 4 aún carece de bastantes "características" de las últimas versiones de AD (2012/2016/2019), así que ¿será eso una limitación en este caso? No lo sé.

A menos que su empresa esté fuertemente centrada en Microsoft (SharePoint, Exchange local, etc.), rara vez faltan funciones. Desde una perspectiva de seguridad, un Samba-AD es mucho más fácil de proteger que un Microsoft-AD, y más fácil de respaldar, restaurar y mantener. Tenemos clientes con decenas de miles de usuarios en su Samba-AD, y uno con más de 100 000 usuarios y 100 000 máquinas. Por lo tanto, puede funcionar a gran escala.

Básicamente, si te sientes cómodo con la línea de comandos y Linux, Samba-AD es probablemente la mejor opción y es fácil lograr una calificación ANSSI ORADAD 3.

Si te gusta hacer clic y la sintaxis de PowerShell no te hace llorar, y te gusta pasar días y días navegando por la guía de seguridad de ANSSI, Microsoft-AD es la solución adecuada.

Desde el punto de vista de la seguridad, lo único realmente importante que faltaba en comparación con FL2k12 eran los Usuarios Protegidos, y eso ya está en el samba maestro de Git, programado para su lanzamiento en septiembre próximo (financiado por DGFiP, ¡son sus impuestos los que están funcionando! ¡quiquiriquí!).

Lecbee escribió: ↑31 de mayo de 2022 - 19:44 En un tema ligeramente diferente, ¿Tranquil-IT también ofrece soporte para la parte de uso compartido de archivos (SMB/CIFS) de Samba (cuando se utiliza un servidor de archivos Samba)? ¿
O solo soporte para la parte de Active Directory (AD) de Samba?

Realizamos migraciones de Active Directory y ofrecemos soporte posterior a la migración, lo que, por supuesto, incluye el componente de servidor de archivos. Sin embargo, no ofrecemos soporte puntual. Lo sentimos.

Denis

Lecbee · 13 de junio de 2022 - 22:25

Disculpe la demora en responder

En mi caso, el problema es que tenemos cosas vinculadas a Microsoft (Exchange Online y Azure AD, tal vez SharePoint algún día)

), y sobre todo, soy el único que se siente realmente cómodo con Linux. No necesariamente así para mis colegas, obviamente...

Desde una perspectiva de seguridad, un Samba-AD es mucho más fácil de proteger que un Microsoft-AD, y más fácil de respaldar, restaurar y mantener

Estoy convencido de ello

En cualquier caso, muchas gracias por estas respuestas, ¡al menos me dan una buena orientación!

19 de mayo de 2023 - 11:42

Para su información, Samba 4.18 ofrece mejor compatibilidad con el cliente de Azure AD Connect para Windows.

También he desarrollado un cliente de Azure AD Connect para Samba 4 en Python puro, por si le interesa:

https://github.com/sfonteneau/AzureADConnect_Samba4