TrueNAS + Active Directory – dlaczego warto?

TrueNAS i Active Directory – jak wykorzystać ogrom zalet TrueNAS pracując z domeną Active Directory. Pokarzę jak skonfigurować TrueNAS jako dysk sieciowy dla użytkowników domeny Windows.

Będzie wprowadzenie potem skoczymy do laboratorium

 

Active Directory

 

Od początku Active Directory to upraszczając na potrzeby materiału usługa katalogowa utrzymująca dane o użytkownikach loginy, hasła, należność do grup i uprawnienia, czasy wygasania dostępów, wymuszanie odnowienia hasła i inne znienawidzone przez użytkowników mechanizmy. Active Directory Jest ciekawym rozwiązaniem pozwalającym na centralnie i zautomatyzowane zarządzanie użytkownikami pracującymi głównie pod kontrolą Windowsów serii wszelakiej. Ważny TIP do współpracować z Active Directory w sposób prosty nie potrafią Windowsy z serii Home. Od wersji Proffesional. Samo Active Directory pracuje pod kontrolą Windowsów z serii server. Takie rozwiązanie sprawdza tym bardziej im więcej użytkowników jest w organizacji. Bo wyobraźcie sobie, że musimy zmieniać regularnie hasła w mailu, laptopie i innych systemach. Alternatywą jest właśnie użycie Active Directory jako centralnego punktu utrzymania informacji o użytkownikach, hasłach i ich prawach do usług itp. Czyli zmieniamy hasło w komputerze przypiętym do domeny i zmienia się ono we wszystkich zintegrowanych systemach. Fajne prawda? A dlaczego o tym mówię właśnie w kontekście TrueNAS? No właśnie dlatego TrueNAS też można zsynchronizować z Active Directory co sprawi, że nie ma potrzeby zarządzania użytkownikami bezpośrednio w TrueNAS. Czyli jak już mamy gdzieś skonfigurowany i pracujący Active Directory to tylko podpinamy TrueNAS i użytkownicy domeny mogą automatycznie korzystać z zasobów sieciowych właściwymi prawami czy prawami grupy do której należą. Bo przecież właśnie o to chodzi żeby użytkownicy mieli dostęp do dych danych co powinni a nie do tych co nie powinni.
I o to właśnie będzie chodziło.

 

Laboratorium

Odnośnie laboratorium to pokarzę jak to zrobić na przykładzie TrueNAS-SCALE-22.02.4 oraz TrueNAS CORE 13.0-U2. Chciałem pokazać na obu ponieważ jednak różnią się trochę intefacem poza tym Truenas CORE na październik 2022 wydaje się liderem ale SCALE nabiera coraz bardziej rozpędu i staje się coraz ciekawszym rozwiązaniem. Co prawda w moim odczuciu jest jeszcze lekko niedojrzały, nie mam tu na myśli, że jest niestabilny, absolutnie nie. Chodzi o drobiazgi, niedopracowanie menu itp. Wiem jeszcze, że są jeszcze trudności z zaawansowanym ustawieniem sieci dla Dockera. Widzę również, że z każdą aktualizacją eliminowane są drobiazgi i staje się on coraz dojrzalszy. Fajnie bo jestem fanem Debiana i konteneryzacji i bardzo podoba mi się, że to zestawianie ląduje i jest dynamicznie rozwijane w TrueNAS  a wracając do tematu w narożniku Microsoftu stanie Windows Server 2016 jako obsługując nam serwera Active Directory. Informacyjnie ten Windows jest wyłącznie testowy nie używamy go, wiem że jest stary. Generalnie u siebie nie używamy Windows server. Owszem wspieramy je dla Klientów ale raczej go nie forsujemy.

Kilka dodatkowych uwag odnośnie samej instalacji które warto poruszyć bo mogą potem oszczędzić nam zbędnego czasu a skoro ja go już zmarnowałem to po co wy macie. Podstawą tej konfiguracji jest dobrze działający Active Directory jeżeli ono nie działa nie ma sensu iść dalej – nie zadziała. Cofnijcie się poprawcie i wróćcie do TrueNAS. Ten materiał nie będzie absolutnie o konfiguracji Active Directory.

 

Z podstawowych tipów

 

Żeby Active Directory działało poprawnie musi być ono serwerem DNS dla całej sieci. Włącznie, co jest nie oczywiste, z sobą samym. Wszystkie komputery w sieci, TrueNAS i sam serwer muszą mieć ustawione IP serwera Active Directory jako DNS.
Następna rzecz użytkownik jakiego będziemy wykorzystywali do zalogowanie się TrueNAS em do domeny musi być dodany do grup administratorzy domeny.
Dodatkowo następny haczyk, jeżeli mieliście skonfigurowanych statycznych użytkowników i mieli oni dostęp do plików to po dodaniu TrueNAS do dostępy ci użytkownicy stracą dostęp do tych plików.

Nie znalazłem jakieś prostego rozwiązania, żeby dało się używać statycznych użytkowników po zalogowaniu do domeny. Jak znaleźliście na to sposób dajcie znać w komentarzach.

ZAPRASZAM DO OGLĄDANIA