Как бесшовно перевести пользователей между каталогами: взгляд сисадмина Termit / forpes.ru

Главная
Как бесшовно перевести пользователей между каталогами: взгляд сисадмина Termit

Как бесшовно перевести пользователей между каталогами: взгляд сисадмина Termit

26.11.2025 10:04

D_Russu 0 130 Источник

…админы не плачут, они просто меняют каталог

Переход из одного каталога пользователей в другой каталог — актуальная задача для многих российских компаний. И те, кто уже пробовал пройти этим путем, нередко сталкивались с различными препятствиями. Я Дима Руссу из команды платформы виртуализации рабочих столов и приложений Termit Orion soft. В этой статье хочу рассказать, как организовать плавный переход терминальных пользователей на новую службу каталогов.

Приготовьте кофе покрепче… или что-нибудь посерьезнее, потому что мы будем смотреть на все происходящее через внутренний мир сисадмина Руссу, Д., и это весьма мрачный угол обзора.

Из архива системного администратора Руссу, Д.

***

За окном хлестал дождь. Капли на стекле выглядели, как слезы.

Казалось, кто-то наверху знал — мне снова придется делать кому-то больно.

Босс ввалился в кабинет и бросил на стол папку.

— Надо перейти с Active Directory. Быстро и тихо.

Я кивнул. Не потому что хотел. Потому что выбора не было..

***

Бесшовный переход службы каталогов не так уж прост. Бывают разные сложности, из-за которых приходится работать сразу с несколькими каталогами. Самое распространенное — невозможность сразу отказаться от всех сервисов Microsoft, которые в принципе не работают ни с чем, кроме AD.

С точки зрения терминального доступа возникает еще одна серьезная проблема: иностранные системы не позволяют интегрироваться с FreeIPA или Samba. Администраторы оказываются перед необходимостью не только перейти на новую службу каталогов, но и подобрать совместимую систему терминального доступа, способную работать в отечественной инфраструктуре.

***

В конторе уже стоял Termit — старый пес, проверенный и надежный. Я рылся в архивах и наткнулся на его документацию. Пожелтевшие страницы, заметки на полях… Все это пахло временем, когда системы еще делали с душой.

Я открыл документацию. Глаза скользили по строчкам, как шины по мокрому асфальту.

SambaDC? FreeIPA? MS AD? — Подключай что угодно, система хладнокровна.
А главное — можно закрепить, кто откуда приходит. Без путаницы. Без пересечений. Все как доктор прописал.

***

Termit работает с любыми службами каталогов. Это действительно так. Вы можете сколь угодно долго поддерживать одновременное сосуществование разных служб каталогов.

Кроме того, Termit позволяет однозначно прописать правила авторизации для каждой группы пользователей и для каждого приложения.

***

Иван Савельич из Новоуральска — старый системщик, переехал в Samba. Леха Громов из Протвино — парень поновее, уже сидел на FreeIPA.

Сначала я прицепил Samba. Termit кивнул. Все заработало. Потом FreeIPA.

«Хорошо пошла», — подумал я, но пользователей пока не трогал. Тишина перед бурей.

Как подключить новую службу каталогов

В документации описано, как подключить к Termit службу каталогов. Это действительно просто, так что разобрать процесс по шагам можно, не выпуская из руки тот самый кофе (или что-нибудь покрепче).

***

Добавьте каталог. Хм. Пока все просто.

Базовое уникальное имя. Имя пользователя. Знакомые формы. Далее…

А вот и выбор каталогов. Сколько полей? Хвала небесам, они заполняются сами. Далее…

Включим эти опции — лишними они точно не будут.

Есть даже безопасное подключение. Какой у меня сервер? Чертов дождь не дает сосредоточиться…

Изображение выглядит как текст, снимок экрана Содержимое, созданное искусственным интеллектом, может быть неверным.

Конечно, правильно. Время проверить соединение.

Готово. Осталось прикрепить к приложениям… и правда, есть выбор.

***

Очередность подключения каталогов в нашем случае не имеет значения. Каждая группа пользователей далее будет взята из одной из используемых служб каталогов.

***

AD еще жив. Но ��н уже не командует парадом. SambaDC принял новый бой. А FreeIPA? Пока ждет своего часа. Но я уже готов. Я уже знаю, как это делается.

Я закрыл ноутбук, откинулся в кресле и, наконец, посмотрел в окно. Снаружи снова лил дождь. Но в этот раз небесные слезы были уже не обо мне.

Заключение

Подключение пользователей между различными каталогами в Termit проходит прозрачно. Можно продолжать работать с Active Directory столько, сколько нужно и параллельно использовать FreeIPA или SambaDC без спешки и простоев.

А какие сложности встречаете вы, если работаете одновременно с разными службами каталогов? Возникали ли задачи одновременной замены службы каталогов и системы терминального доступа?

P. S. Записки администратора