Когда офису реально нужен FreeIPA?

Когда у вас от 5 Linux-серверов и больше 3 человек, которым на них надо логиниться. До этого можно жить на локальных учётках и SSH-ключах. Выше — начинаются ошибки: уволенный сотрудник продолжает иметь доступ, потерянные ключи, разные пароли на разных серверах.

FreeIPA или Active Directory?

AD — для офисов на Windows. FreeIPA — для офисов с парком Linux-серверов (1С на Linux, веб, БД, хранилища). Их можно подружить через trust, и это нормальная практика для смешанных инфраструктур: AD для рабочих станций, FreeIPA для серверов.

Сколько ресурсов жрёт FreeIPA?

Для офиса до 200 пользователей и 50 серверов хватает виртуалки 2 vCPU, 4 GB RAM, 30 GB диска. На физическом сервере вообще не заметите. Реплику ставить со второго месяца — для отказоустойчивости.

Что будет, если FreeIPA-сервер упадёт?

Если у вас одна реплика — пользователи не смогут залогиниться по новой сессии. Уже открытые SSH-сессии останутся живыми. Поэтому всегда ставим минимум 2 реплики и кешируем учётки локально через SSSD — он держит последние 7 дней даже при недоступности сервера.

Сколько стоит внедрение FreeIPA в АйТи Фреш?

Базовое развёртывание (2 реплики, заведение пользователей, подключение до 15 серверов, sudo-правила, базовые HBAC) — 85 000 руб. как разовый проект. Если у вас уже наша абонентка — входит в плановые работы при объёме до 10 серверов.

Linux-серверы 17 апреля 2026 · 16 мин чтения

FreeIPA для офиса с Linux-серверами: единая учётка вместо хаоса локальных паролей

Меня зовут Семёнов Евгений Сергеевич, я 15 лет занимаюсь IT-аутсорсингом для бизнеса в Москве. Расскажу историю, как мы наводили порядок в небольшой логистической компании, у которой было 12 Linux-серверов и ровно 12 разных способов на них заходить. Когда я пришёл, в текстовом файле у админа лежало 47 паролей, половина из которых уже не работала. После внедрения FreeIPA весь этот зоопарк превратился в одну учётку, один пароль и понятный аудит — кто и куда заходил.

Когда офису пора задуматься о централизованной аутентификации

Сразу проясню, чтобы не тратить ваше время: если у вас 1–2 сервера на Linux и заходите на них только вы и ещё один человек — забейте, не нужен вам никакой FreeIPA. Локальные учётки плюс SSH-ключи в ~/.ssh/authorized_keys закроют все ваши задачи. Эта статья не про вас.

А вот когда я еду на аудит и вижу следующие признаки — всегда поднимаю тему централизации:

На предприятии работают 5 и более Linux-серверов: сервер 1С на CentOS, веб-сервер, БД, файловое хранилище, бэкап-сервер, мониторинг.
На эти серверы заходят 3 и более человек: системный администратор, разработчик, бухгалтер с правом запуска отчётов 1С, внешний подрядчик.
В компании за последний год уволили хотя бы одного айтишника, и никто точно не помнит, на каких серверах у него был доступ.
Когда новый сотрудник выходит на работу, заводить ему доступы — это квест на полдня с обходом всех серверов.
Системный администратор хранит SSH-ключи и пароли в файле passwords.txt на рабочем столе. Я такое видел не раз и не два.

Если хотя бы три из пяти пунктов про вас — читайте дальше. Если все пять — у вас уже есть как минимум одна дыра в безопасности, о которой вы не подозреваете.

Что такое FreeIPA простыми словами

FreeIPA — это Active Directory для мира Linux. Только бесплатный, открытый и сильно более лёгкий по ресурсам. Под капотом у него четыре кита: каталог LDAP (где хранятся учётки), Kerberos (выдаёт билеты для входа без пароля), DNS (имена серверов) и центр сертификации (CA). Всё это собрано в один пакет, который ставится одной командой ipa-server-install.

На стороне каждого сервера — сервиса под названием SSSD. Это оно отвечает на вопросы «есть такой пользователь?», «правильный ли у него пароль?», «может ли он делать sudo?». SSSD умеет работать в офлайне: даже если FreeIPA-сервер упал, последние входы будут работать ещё неделю по локальному кешу. Это очень удобно, когда у вас удалённые серверы или нестабильный интернет.

Для пользователя всё выглядит просто. Вместо ssh root@bd1.local с паролем, который он по тысячному разу гуглит в чате, он пишет ssh ivanov@bd1.local — и заходит со своей корпоративной учёткой. А я, как админ, в любой момент могу его заблокировать одной командой, и через 60 секунд он не сможет зайти ни на один сервер из 12.

Реальный кейс: логистическая компания, 12 Linux-серверов, март 2026

Описываю как было: компания возит сборные грузы из Китая, два склада в Подмосковье, 38 человек в офисе на Бауманской. На Linux у них стояли:

Сервер 1С УТ 11 на CentOS Stream 9 (рабочий, нагруженный).
PostgreSQL для 1С, отдельная виртуалка.
Бэкап-сервер с pg_basebackup и rsync на NAS.
Сервер с GitLab CE для мобильного приложения склада.
Веб-сервер с корпоративным сайтом и личным кабинетом водителя.
Сервер видеонаблюдения с записью с 24 IP-камер.
Zabbix для мониторинга всего этого.
Pi-hole + WireGuard для сотрудников на удалёнке.
3 виртуалки разработчиков для тестов.
1 сервер с Docker для микросервисов кабинета водителя.

Кто на это всё имел доступ: я, штатный админ компании, два разработчика мобильного приложения, один внешний подрядчик по сайту, директор по логистике (для проверки отчётов 1С). Итого 6 человек на 12 серверов = 72 потенциальные учётки. По факту существовало 47, из которых 11 уже принадлежали уволенным сотрудникам. И только один человек (я) знал, что эти 11 учёток нужно было удалить ещё в 2024 году.

Что мы получили после внедрения FreeIPA

Через две недели работы по три часа в день вечерами (чтобы не нарушать продакшен) у клиента было следующее:

Один логин на всю инфраструктуру. Иванов, Петров, Сидоров заходят везде под своими корпоративными именами с одним паролем.
Двухфакторная аутентификация для критичных серверов. На базу 1С, GitLab и бэкап-сервер настроили обязательную 2FA через приложение FreeOTP (бесплатное, аналог Google Authenticator).
Правила sudo, которые имеют смысл. Разработчики могут перезапускать только свои контейнеры. Бухгалтер может запускать только конкретные скрипты обновления 1С. Полный root остался только у меня и штатного админа.
HBAC — кто куда может ходить. Внешний подрядчик по сайту видит только два веб-сервера и не имеет даже теоретической возможности попасть на 1С. Пытается — получает «Permission denied» на этапе подключения.
Аудит входов. Каждое ssh ivanov@server попадает в журнал FreeIPA, и я могу за минуту собрать отчёт «кто за последнюю неделю заходил на сервер 1С».
Увольнение = одна команда. ipa user-disable petrov — и через минуту человек не может попасть ни в один сервис. Это спасло нас в августе 2025, когда программиста увольняли в середине рабочего дня после конфликта.

Архитектура решения, которое мы развернули

Не буду грузить вас полным конфигом — для статьи это лишнее. Покажу принципиальную схему:

Компонент	Где работает	Что делает
FreeIPA Master	VM 2 vCPU / 4 GB RAM на основном гипервизоре	Главный сервер каталога, центр сертификации, KDC
FreeIPA Replica	VM 2 vCPU / 4 GB RAM на резервном гипервизоре	Копия мастера для отказоустойчивости
SSSD-клиент	На каждом из 12 серверов	Отвечает на вопросы NSS/PAM, кеширует учётки
FreeOTP	На смартфоне у каждого пользователя	Генерирует одноразовый код для 2FA
OpenVPN/WireGuard плагин	Конфигурация на VPN-сервере	Аутентификация удалёнщиков через FreeIPA + 2FA

Чтобы не было единой точки отказа, FreeIPA Master и Replica крутятся на разных физических хостах, а DNS-зону офиса я перевёл на саму же FreeIPA (она работает как авторитативный DNS-сервер). Если падает мастер, реплика подхватывает все запросы автоматически — пользователи даже не замечают.

Подводные камни, на которых я наступил

Чтобы вы не повторяли мои ошибки, перечислю четыре грабли, которые ждут любого, кто впервые ставит FreeIPA:

Неправильный hostname. FreeIPA требует FQDN вида ipa1.corp.example.ru, причём без подчёркиваний и заглавных букв. Если у вас сервер называется IPA-Server01 — установка упадёт на этапе проверки.
Время. Kerberos очень нервно реагирует на расхождение времени более 5 минут между сервером и клиентом. Обязательно настраиваем NTP (chrony) на всех узлах ДО ipa-client-install, иначе клиенты не смогут получить билет.
SELinux. Большой соблазн отключить, потому что мешает настраивать. Не отключайте. Просто переводите в permissive на время отладки и собирайте политики через audit2allow. Если отключите — потом не включите никогда.
Бэкап. FreeIPA — это критичный сервис, как DNS или AD. Если пропадёт — встанет вход на все 12 серверов. Делаем ipa-backup по cron каждую ночь и копируем на NAS, плюс снапшоты виртуалки в Veeam раз в час в рабочее время.

Сколько это стоит и кому это окупается

Прикинем экономику. На стороне продукта вы платите ноль рублей: FreeIPA полностью бесплатен и open source. Платите вы только за работу инженера. По нашим тарифам АйТи Фреш на 2026 год расклад такой:

Этап работ	Срок	Стоимость
Аудит инфраструктуры, инвентаризация учёток	1–2 дня	15 000 ₽
Развёртывание мастера и реплики FreeIPA	1 день	22 000 ₽
Подключение 10–15 серверов через ipa-client	2 дня	28 000 ₽
Настройка sudo-правил, HBAC, групп	1 день	14 000 ₽
Включение 2FA для критичных серверов	0.5 дня	6 000 ₽
Документирование и инструктаж администратора	1 день	15 000 ₽
Итого разовый проект	5–6 рабочих дней	100 000 ₽

Когда оно окупается? Если у вас 12 серверов и 6 пользователей — за полгода. Считаем экономию: раньше при увольнении сотрудника штатный админ тратил 2–3 часа на обход всех серверов и удаление учёток (часто половину забывал). Теперь — 30 секунд и одна команда. При обороте кадров 4 человека в год это 12 рабочих часов экономии. По ставке среднего админа в Москве — это 18 000 руб. в год чисто на этом.

Плюс снижение риска. Один забытый ssh-ключ уволенного сотрудника, который ушёл в конкурирующую компанию — это потенциальная утечка базы клиентов. Цена такого инцидента в логистике — миллионы рублей репутационного ущерба и реальный риск судебного иска от пострадавших клиентов.

Что входит в обслуживание FreeIPA по абонентке АйТи Фреш

После запуска система требует регулярных работ. У нас в АйТи Фреш для клиентов на абонентке это входит в стандартный тариф и включает:

Заведение и блокировка пользователей по заявкам HR (в среднем 4–8 операций в месяц).
Ежемесячный аудит активных учёток с отчётом «кто давно не заходил».
Контроль свежести SSL-сертификатов внутреннего CA (FreeIPA умеет автоматически перевыпускать).
Обновление FreeIPA-сервера при выходе security-патчей (раз в 1–2 месяца).
Восстановление работоспособности при инцидентах (failover на реплику, восстановление из ipa-backup).
Раз в полгода — учения «упал мастер»: проверяем, что всё переключается на реплику и пользователи не заметили.

Это часть нашего стандартного подхода. У нас в команде 14 инженеров, среди них трое имеют сертификацию RHCE с опытом FreeIPA от 4 лет. Когда вы заводите с нами абонентку — вы получаете доступ ко всей этой экспертизе, а не одного человека на телефоне.

Альтернативы FreeIPA, которые я рассматриваю

Чтобы не выглядело, будто я вас веду в одну единственную сторону — есть ещё варианты, и я их честно перечислю:

OpenLDAP + sudo-ldap + чем-то ещё. Можно собрать свою «бюджетную» версию из компонентов. Минус — поддерживать её невозможно без человека, который вкладывается в это месяцами.
Active Directory с подключением Linux через SSSD. Хорошо, если у вас уже есть AD под Windows-парк. Linux-серверы заводятся в домен и используют те же учётки. Чуть сложнее с sudo и HBAC, но рабочее решение.
Cloud IdP (Okta, JumpCloud, Cisco Duo). Платные облачные сервисы. С ними можно сделать SSO для всего, но месячная подписка $5–8 за пользователя в нашей реальности 2026 года недоступна по понятным причинам.
Ручные SSH-ключи через Ansible. Для парка до 5 серверов и до 3 пользователей — годное решение. Дальше становится неподдерживаемо.

В 9 случаях из 10 для российского SMB с парком Linux-серверов оптимальный выбор — это FreeIPA. Бесплатно, работает, поддерживается крупным сообществом, имеет нормальную документацию на английском.

Закажите аудит вашей Linux-инфраструктуры

Я лично выезжаю на аудит к новым клиентам в Москве и в радиусе 50 км от МКАД. Посмотрю, как у вас устроены доступы к серверам, найду «забытые» учётки, дам письменное заключение со списком уязвимостей и сметой на наведение порядка. Аудит — бесплатный, без обязательств, результат — на руки.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы о FreeIPA для офиса

Когда офису реально нужен FreeIPA?: Когда у вас от 5 Linux-серверов и больше 3 человек, которым на них надо логиниться. До этого можно жить на локальных учётках и SSH-ключах. Выше — начинаются ошибки: уволенный сотрудник продолжает иметь доступ, потерянные ключи, разные пароли на разных серверах.
FreeIPA или Active Directory?: AD — для офисов на Windows. FreeIPA — для офисов с парком Linux-серверов. Их можно подружить через trust, и это нормальная практика для смешанных инфраструктур: AD для рабочих станций, FreeIPA для серверов.
Сколько ресурсов жрёт FreeIPA?: Для офиса до 200 пользователей и 50 серверов хватает виртуалки 2 vCPU, 4 GB RAM, 30 GB диска. Реплику ставить со второго месяца — для отказоустойчивости.
Что будет, если FreeIPA-сервер упадёт?: Если у вас одна реплика — пользователи не смогут залогиниться по новой сессии. Уже открытые SSH-сессии останутся живыми. Поэтому всегда ставим минимум 2 реплики и кешируем учётки локально через SSSD — он держит последние 7 дней даже при недоступности сервера.
Сколько стоит внедрение FreeIPA в АйТи Фреш?: Базовое развёртывание (2 реплики, заведение пользователей, подключение до 15 серверов, sudo-правила, базовые HBAC) — 100 000 руб. как разовый проект. Если у вас уже наша абонентка — входит в плановые работы при объёме до 10 серверов.