Samba 4 AD è compatibile con un'infrastruttura Azure/365?

Lecbee · 12 maggio 2022 - 21:02

Salve,

sono un amministratore di sistemi e reti in una PMI (circa 300 dipendenti in tutto il mondo). La nostra infrastruttura è attualmente prevalentemente orientata a Microsoft, sebbene sia presente anche una discreta quantità di Linux.

Abbiamo un'infrastruttura Active Directory che inizia a mostrare i segni del tempo... e a breve è previsto un progetto di aggiornamento.

Da anni, però, sogno segretamente di migrare tutto a Samba.

Tuttavia, sognare non basta; dobbiamo affrontare la realtà. La realtà è che attualmente dipendiamo fortemente da Azure (Office 365, Teams, Exchange Online, ecc.) a causa di fattori storici e anche perché dobbiamo adattarci alle esigenze dei nostri clienti. Abbandonare questi strumenti è semplicemente impensabile.

Attualmente, il nostro Active Directory è sincronizzato con Azure. Quindi, la mia domanda è molto semplice: prima di discutere di Samba 4 AD con il resto del mio team, un'infrastruttura Samba 4 AD è compatibile con Azure, ecc.?
Se non è chiaramente possibile, almeno so che posso optare per un'altra soluzione.

Oppure è possibile solo con delle soluzioni alternative? Oppure è chiaramente supportato e offrite supporto per questo tipo di architettura?

Grazie

17 maggio 2022 - 15:41

Ciao lecbee,

Lecbee ha scritto: ↑12 maggio 2022 - 21:02 Sono un amministratore di sistemi e reti in una PMI (circa 300 persone in tutto il mondo). La nostra infrastruttura è attualmente piuttosto orientata a Microsoft, anche se c'è una discreta quantità di Linux qua e là. Abbiamo un'infrastruttura Active Directory che inizia a invecchiare... e un progetto di aggiornamento in arrivo.

Ma da anni sogno segretamente di migrare tutto a Samba. Ma sognare non basta; dobbiamo affrontare la realtà. La realtà è che attualmente dipendiamo molto da Azure (beh, Office 365, Teams, Exchange Online, ecc.) a causa di fattori storici e anche perché dobbiamo adattarci ai nostri clienti. Abbandonare questi strumenti è semplicemente inconcepibile.

Il nostro AD è attualmente sincronizzato con Azure. Quindi la mia domanda è molto semplice: prima di discutere di Samba 4 AD con il resto del mio team, un'infrastruttura Samba 4 AD è compatibile con Azure, ecc.? Se
è chiaramente no, almeno so che posso andare avanti. Oppure è possibile solo tramite soluzioni alternative? O al contrario, è una funzionalità chiaramente supportata e offrite supporto per questo tipo di architettura?

È possibile "hackerare" l'installazione di Azure AD Connect in modo che si sincronizzi direttamente con Azure AD. Tuttavia, il fatto che Samba attualmente non supporti i gMSA (account di servizio gestiti da gruppi) richiede alcune soluzioni alternative [1]. Non sono un fan di questa soluzione, ma per alcuni funziona.

Un'altra opzione è quella di mantenere un'istanza di Microsoft Active Directory (non visibile alle workstation) solo per la sincronizzazione con Azure AD; funziona, ma non ne sono un grande fan. Bisogna prestare molta attenzione alle definizioni dei siti e alle configurazioni del firewall.

L'altra opzione è implementare script di sincronizzazione in Python (potete cercare un esempio per ispirazione su Gapps GitHub [2]). Funziona bene, ma Microsoft non ha pubblicato l'API per la modifica delle password utilizzando l'hash NT. Infatti, l'unico modo per aggiornare una password è inviarla in testo normale (quindi è possibile solo quando l'utente cambia la password, ma non in seguito). L'hash utilizzato da Azure è un derivato pbkdf2 dell'hash NT, quindi può essere riprodotto, ma non può essere inviato...

Un modo per inviare la password è utilizzare il parametro smb.conf controlla lo script della password.

Quindi, se Samba-AD vi motiva, è possibile. Se il problema è solo l'acquisto della licenza, non è necessariamente il fattore decisivo. Samba-AD è molto più facile da gestire nel tempo e da proteggere. È qui che si guadagna davvero in termini di costi e produttività.

Sinceramente,

Denis

[1] https://wiki.samba.org/index.php/Azure_AD_Sync
[2] https://github.com/baboons/samba4-gaps

Lecbee · 31 maggio 2022 - 19:44

Buonasera,

la ringrazio molto per la sua risposta; mi ha già permesso di comprendere meglio i limiti e le possibilità.

A prima vista, la soluzione con Microsoft Active Directory connesso ad Azure sembra la più "pulita". Tuttavia, non conosco i limiti di questa soluzione. Lei ha menzionato di non essere un fan di questa soluzione.
Ho fatto ulteriori ricerche e a quanto pare Samba 4 manca ancora di diverse "funzionalità" presenti nelle ultime versioni di Active Directory (2012/2016/2019), quindi questo potrebbe rappresentare un limite in questo caso d'uso? Non lo so.

A proposito, Tranquil-IT offre anche supporto per la condivisione di file (SMB/CIFS) di Samba (nel caso di utilizzo di un file server Samba)?
O solo per la parte relativa ad Active Directory?

1 giugno 2022 - 15:51

Lecbee ha scritto: ↑31 maggio 2022 - 19:44 A memoria, la soluzione di un Microsoft AD che si connette ad Azure sembra la più "pulita". Ma non conosco i limiti di questa soluzione. Dici di non essere un fan di questa soluzione.
Ho fatto ulteriori ricerche e a quanto pare Samba 4 manca ancora di parecchie "funzionalità" rispetto alle ultime versioni di AD (2012/2016/2019), quindi questo potrebbe rappresentare un limite in questo caso d'uso? Non lo so.

A meno che non siate un'azienda fortemente incentrata su Microsoft (SharePoint, Exchange on-premise, ecc.), è raro che manchino davvero delle "funzionalità". Dal punto di vista della sicurezza, un Samba-AD è molto più facile da proteggere di un Microsoft-AD, nonché da sottoporre a backup, ripristino e manutenzione. Abbiamo clienti con decine di migliaia di utenti nel loro Samba-AD e uno con oltre 100.000 utenti e 100.000 macchine. Quindi può funzionare su larga scala.

In sostanza, se hai dimestichezza con la riga di comando e Linux, Samba-AD è probabilmente la scelta migliore, ed è facile ottenere una valutazione ANSSI ORADAD 3.

Se ti piace cliccare e la sintassi di PowerShell non ti fa piangere e ti piace passare giorni e giorni a scorrere la guida alla sicurezza ANSSI, Microsoft-AD è la soluzione giusta.

Dal punto di vista della sicurezza, l'unica cosa davvero importante che mancava rispetto a FL2k12 erano gli Utenti Protetti, e questo è già presente nel git master samba, la cui uscita è prevista per il prossimo settembre (finanziato dal DGFiP, sono le vostre tasse a funzionare! chicchirichì!).

Lecbee ha scritto: ↑31 maggio 2022 - 19:44 Su un argomento leggermente diverso, Tranquil-IT offre supporto anche per la parte di condivisione file (SMB/CIFS) di Samba (quando si utilizza un file server Samba)?
O solo per la parte Active Directory (AD) di Samba?

Eseguiamo migrazioni di Active Directory e supporto post-migrazione, che ovviamente include la componente file server. Tuttavia, non offriamo supporto una tantum. Ci dispiace.

Denis

Lecbee · 13 giugno 2022 - 22:25

Mi scuso per il lungo ritardo nella risposta

Nel mio caso, il problema è che abbiamo cose collegate a Microsoft (Exchange Online e Azure AD, forse un giorno anche SharePoint)

), e soprattutto, sono l'unico che si trova davvero a suo agio con Linux. Non necessariamente per i miei colleghi, ovviamente...

Dal punto di vista della sicurezza, un Samba-AD è molto più facile da proteggere di un Microsoft-AD ed è più facile eseguirne il backup, il ripristino e la manutenzione

Ne sono convinto

In ogni caso, grazie mille per queste risposte, almeno mi danno una buona direzione!

19 maggio 2023 - 11:42

Per vostra informazione, Samba 4.18 offre un supporto migliore per il client Windows di Azure AD Connect.

Ho anche sviluppato un client Azure AD Connect per Samba 4 in puro Python, se siete interessati:

https://github.com/sfonteneau/AzureADConnect_Samba4