Samba DC: контроллер домена на Linux без серверов Windows

Samba DC (реализация контроллера домена на Samba) — это способ построить полноценный доменный каталог на Linux-сервере, совместимый с Active Directory. Доменные пользователи, групповые политики, единый вход на рабочие станции — всё то же самое, но без лицензий Windows Server.

Зачем это нужно бизнесу

Долгие годы стандартом корпоративной IT-инфраструктуры был контроллер домена Active Directory на Windows Server. На нём держится единая база учётных записей, аутентификация при входе в систему, раздача настроек через групповые политики, доступ к сетевым папкам и принтерам. Но лицензии Windows Server и клиентские CAL стоят денег, а в условиях импортозамещения поставки и обновления стали проблемой.

Samba DC решает обе задачи. Это открытая реализация протоколов Active Directory: контроллер поднимается на обычном Linux-сервере (в том числе на отечественной ОС), а рабочие станции — как Windows, так и Linux — вводятся в домен и работают штатно. Для пользователя ничего не меняется: тот же логин, та же доменная аутентификация. Для компании это снижение лицензионной нагрузки и независимость от вендора.

Как это работает

Samba DC реализует серверную часть доменных служб: каталог LDAP, аутентификацию Kerberos, службу DNS и репликацию между контроллерами.

Каталог — Samba хранит дерево объектов (пользователи, группы, компьютеры, организационные подразделения) в формате, совместимом с Active Directory. Администрировать можно как из Linux-консоли (samba-tool), так и привычными графическими оснастками Windows (RSAT) с любой машины в домене.

Аутентификация — вход в домен идёт по Kerberos, как в классической AD. Рабочая станция получает билет, единый вход (SSO) работает для доменных ресурсов без повторного ввода пароля.

Групповые политики — Samba DC хранит и раздаёт объекты GPO. Политики применяются к доменным машинам так же, как в инфраструктуре Microsoft.

Отказоустойчивость — поднимается несколько контроллеров с репликацией каталога между ними. Падение одного узла не останавливает аутентификацию в сети.

Когда подходит компании

• Идёт импортозамещение, и нужно уйти с Windows Server без потери доменной модели управления
• Парк рабочих станций смешанный — часть на Windows, часть на отечественной Linux-ОС
• Нужен единый каталог пользователей и групповые политики, но без лицензий Microsoft
• Развивается федеративная аутентификация — Samba DC становится источником учётных записей для SSO-портала и других сервисов

Если в компании всё ещё критичны сложные сценарии чистой Active Directory (например, доверительные отношения с внешними лесами или специфичные службы Microsoft), миграцию проектируют поэтапно — с тестовым доменом и проверкой совместимости.

Что включает наша услуга

• Аудит текущего домена: пользователи, группы, GPO, схема каталога, интеграции
• Проектирование архитектуры — сколько контроллеров, как ляжет репликация и резервирование
• Развёртывание Samba DC на Linux-сервере, в том числе на отечественной ОС вроде Astra Linux
• Перенос учётных записей и групповых политик из существующей инфраструктуры
• Ввод рабочих станций в домен, настройка единого входа
• Документация и обучение администраторов работе с samba-tool и RSAT
• Сопровождение и мониторинг контроллеров из нашего NOC

Подробнее о переходе офиса на отечественный стек — в статье «Импортозамещение офиса: с Windows на Astra Linux в 2026».

Связанные термины

• Active Directory, GPO и ADFS — доменная модель управления — классический стек Microsoft, который заменяет Samba DC
• LDAP — протокол доступа к каталогу — протокол, на котором держится доменный каталог
• Astra Linux — отечественная защищённая ОС — платформа, на которой часто разворачивают Samba DC