FreeIPA для офиса с Linux-серверами: единая учётка вместо хаоса локальных паролей
Меня зовут Семёнов Евгений Сергеевич, IT-аутсорсингом для бизнеса в Москве я занимаюсь 15 лет. Расскажу историю, как мы наводили порядок в небольшой логистической компании, где было 12 Linux-серверов и ровно 12 разных способов на них заходить. Когда я пришёл, у админа в текстовом файле лежало 47 паролей, половина из которых уже не работала. После внедрения FreeIPA весь этот зоопарк схлопнулся в одну учётку, один пароль и понятный аудит — кто и куда заходил.
Когда офису пора задуматься о централизованной аутентификации
Сразу оговорюсь, чтобы не тратить ваше время: если у вас 1–2 сервера на Linux и заходите на них только вы да ещё один человек — забейте, никакой FreeIPA вам не нужен. Локальные учётки плюс SSH-ключи в ~/.ssh/authorized_keys закроют все задачи. Эта статья не про вас.
А вот когда я приезжаю на аудит и вижу такие признаки — всегда поднимаю тему централизации:
- На предприятии работают 5 и более Linux-серверов: сервер 1С на CentOS, веб-сервер, БД, файловое хранилище, бэкап-сервер, мониторинг.
- На эти серверы заходят 3 и более человек: системный администратор, разработчик, бухгалтер с правом запуска отчётов 1С, внешний подрядчик.
- В компании за последний год уволили хотя бы одного айтишника, и никто точно не помнит, на каких серверах у него был доступ.
- Когда новый сотрудник выходит на работу, заводить ему доступы — это квест на полдня с обходом всех серверов.
- Системный администратор хранит SSH-ключи и пароли в файле
passwords.txtна рабочем столе. Я такое видел не раз и не два.
Если хотя бы три из пяти пунктов про вас — читайте дальше. Если все пять — у вас уже есть как минимум одна дыра в безопасности, о которой вы пока не подозреваете.
Что такое FreeIPA простыми словами
FreeIPA — это Active Directory для мира Linux. Только бесплатный, открытый и заметно более лёгкий по ресурсам. Под капотом у него четыре кита: каталог LDAP (там хранятся учётки), Kerberos (выдаёт билеты для входа без пароля), DNS (имена серверов) и центр сертификации (CA). Всё это собрано в один пакет, который ставится одной командой ipa-server-install.
А на стороне каждого сервера работает сервис под названием SSSD. Именно он отвечает на вопросы «есть такой пользователь?», «верный ли у него пароль?», «можно ли ему sudo?». SSSD умеет работать в офлайне: даже если FreeIPA-сервер упал, последние входы ещё неделю проходят по локальному кешу. Очень удобно, когда серверы удалённые или интернет нестабильный.
Для пользователя всё выглядит просто. Вместо ssh root@bd1.local с паролем, который он в тысячный раз ищет в чате, он пишет ssh ivanov@bd1.local — и заходит под своей корпоративной учёткой. А я как админ в любой момент блокирую его одной командой, и через 60 секунд он не зайдёт уже ни на один из 12 серверов.
Реальный кейс: логистическая компания, 12 Linux-серверов, март 2026
Опишу, как было. Компания возит сборные грузы из Китая, два склада в Подмосковье, 38 человек в офисе на Бауманской. На Linux у них стояли:
- Сервер 1С УТ 11 на CentOS Stream 9 (рабочий, нагруженный).
- PostgreSQL для 1С, отдельная виртуалка.
- Бэкап-сервер с pg_basebackup и rsync на NAS.
- Сервер с GitLab CE для мобильного приложения склада.
- Веб-сервер с корпоративным сайтом и личным кабинетом водителя.
- Сервер видеонаблюдения с записью с 24 IP-камер.
- Zabbix для мониторинга всего этого.
- Pi-hole + WireGuard для сотрудников на удалёнке.
- 3 виртуалки разработчиков для тестов.
- 1 сервер с Docker для микросервисов кабинета водителя.
Кто имел доступ ко всему этому: я, штатный админ компании, два разработчика мобильного приложения, один внешний подрядчик по сайту и директор по логистике (для проверки отчётов 1С). Итого 6 человек на 12 серверов = 72 потенциальные учётки. По факту существовало 47, из которых 11 уже принадлежали уволенным. И только один человек (я) знал, что эти 11 надо было удалить ещё в 2024 году.
Что мы получили после внедрения FreeIPA
За две недели работы по три часа в день вечерами (чтобы не трогать продакшен) у клиента получилось вот что:
- Один логин на всю инфраструктуру. Иванов, Петров, Сидоров заходят везде под своими корпоративными именами с одним паролем.
- Двухфакторная аутентификация для критичных серверов. На базу 1С, GitLab и бэкап-сервер настроили обязательную 2FA через приложение FreeOTP (бесплатное, аналог Google Authenticator).
- Правила sudo, которые имеют смысл. Разработчики могут перезапускать только свои контейнеры. Бухгалтер может запускать только конкретные скрипты обновления 1С. Полный root остался только у меня и штатного админа.
- HBAC — кто куда может ходить. Внешний подрядчик по сайту видит только два веб-сервера и не имеет даже теоретической возможности попасть на 1С. Пытается — получает «Permission denied» на этапе подключения.
- Аудит входов. Каждое
ssh ivanov@serverпопадает в журнал FreeIPA, и я могу за минуту собрать отчёт «кто за последнюю неделю заходил на сервер 1С». - Увольнение = одна команда.
ipa user-disable petrov— и через минуту человек не может попасть ни в один сервис. Это спасло нас в августе 2025, когда программиста увольняли в середине рабочего дня после конфликта.
Архитектура решения, которое мы развернули
Полным конфигом грузить не буду — для статьи это лишнее. Покажу принципиальную схему:
| Компонент | Где работает | Что делает |
|---|---|---|
| FreeIPA Master | VM 2 vCPU / 4 GB RAM на основном гипервизоре | Главный сервер каталога, центр сертификации, KDC |
| FreeIPA Replica | VM 2 vCPU / 4 GB RAM на резервном гипервизоре | Копия мастера для отказоустойчивости |
| SSSD-клиент | На каждом из 12 серверов | Отвечает на вопросы NSS/PAM, кеширует учётки |
| FreeOTP | На смартфоне у каждого пользователя | Генерирует одноразовый код для 2FA |
| OpenVPN/WireGuard плагин | Конфигурация на VPN-сервере | Аутентификация удалёнщиков через FreeIPA + 2FA |
Чтобы не плодить единую точку отказа, FreeIPA Master и Replica крутятся на разных физических хостах, а DNS-зону офиса я перевёл на саму же FreeIPA (она работает как авторитативный DNS-сервер). Падает мастер — реплика автоматически подхватывает все запросы, и пользователи этого даже не замечают.
Подводные камни, на которых я наступил
Чтобы вы не повторяли моих ошибок, перечислю четыре грабли, которые поджидают любого, кто ставит FreeIPA впервые:
- Неправильный hostname. FreeIPA требует FQDN вида
ipa1.corp.example.ru, причём без подчёркиваний и заглавных букв. Если у вас сервер называетсяIPA-Server01— установка упадёт на этапе проверки. - Время. Kerberos очень нервно реагирует на расхождение времени более 5 минут между сервером и клиентом. Обязательно настраиваем NTP (chrony) на всех узлах ДО ipa-client-install, иначе клиенты не смогут получить билет.
- SELinux. Большой соблазн отключить, потому что мешает настраивать. Не отключайте. Просто переводите в permissive на время отладки и собирайте политики через
audit2allow. Если отключите — потом не включите никогда. - Бэкап. FreeIPA — это критичный сервис, как DNS или AD. Если пропадёт — встанет вход на все 12 серверов. Делаем
ipa-backupпо cron каждую ночь и копируем на NAS, плюс снапшоты виртуалки в Veeam раз в час в рабочее время.
Сколько это стоит и кому это окупается
Прикинем экономику. За сам продукт вы платите ноль рублей: FreeIPA полностью бесплатен и open source. Платите только за работу инженера. По нашим тарифам АйТи Фреш на 2026 год расклад такой:
| Этап работ | Срок | Стоимость |
|---|---|---|
| Аудит инфраструктуры, инвентаризация учёток | 1–2 дня | 15 000 ₽ |
| Развёртывание мастера и реплики FreeIPA | 1 день | 22 000 ₽ |
| Подключение 10–15 серверов через ipa-client | 2 дня | 28 000 ₽ |
| Настройка sudo-правил, HBAC, групп | 1 день | 14 000 ₽ |
| Включение 2FA для критичных серверов | 0.5 дня | 6 000 ₽ |
| Документирование и инструктаж администратора | 1 день | 15 000 ₽ |
| Итого разовый проект | 5–6 рабочих дней | 100 000 ₽ |
Когда оно окупается? При 12 серверах и 6 пользователях — за полгода. Считаем экономию: раньше при увольнении штатный админ тратил 2–3 часа на обход всех серверов и удаление учёток (и половину обычно забывал). Теперь — 30 секунд и одна команда. При обороте кадров 4 человека в год это 12 рабочих часов экономии, а по ставке среднего админа в Москве — 18 000 руб. в год только на этом.
Плюс снижение риска. Один забытый ssh-ключ уволенного сотрудника, ушедшего к конкурентам, — это потенциальная утечка базы клиентов. Цена такого инцидента в логистике — миллионы рублей репутационного ущерба и вполне реальный риск иска от пострадавших клиентов.
Что входит в обслуживание FreeIPA по абонентке АйТи Фреш
После запуска система требует регулярного обслуживания. У нас в АйТи Фреш для клиентов на абонентке это входит в стандартный тариф и включает:
- Заведение и блокировка пользователей по заявкам HR (в среднем 4–8 операций в месяц).
- Ежемесячный аудит активных учёток с отчётом «кто давно не заходил».
- Контроль свежести SSL-сертификатов внутреннего CA (FreeIPA умеет автоматически перевыпускать).
- Обновление FreeIPA-сервера при выходе security-патчей (раз в 1–2 месяца).
- Восстановление работоспособности при инцидентах (failover на реплику, восстановление из ipa-backup).
- Раз в полгода — учения «упал мастер»: проверяем, что всё переключается на реплику и пользователи не заметили.
Это часть нашего стандартного подхода. В команде у нас 14 инженеров, трое из них с сертификацией RHCE и опытом работы с FreeIPA от 4 лет. Заводите с нами абонентку — получаете доступ ко всей этой экспертизе, а не к одному человеку на телефоне.
Альтернативы FreeIPA, которые я рассматриваю
Чтобы не выглядело, будто я веду вас в одну-единственную сторону, — есть и другие варианты, и я их честно перечислю:
- OpenLDAP + sudo-ldap + чем-то ещё. Можно собрать свою «бюджетную» версию из компонентов. Минус — поддерживать её невозможно без человека, который вкладывается в это месяцами.
- Active Directory с подключением Linux через SSSD. Хорошо, если у вас уже есть AD под Windows-парк. Linux-серверы заводятся в домен и используют те же учётки. Чуть сложнее с sudo и HBAC, но рабочее решение.
- Cloud IdP (Okta, JumpCloud, Cisco Duo). Платные облачные сервисы. С ними можно сделать SSO для всего, но месячная подписка $5–8 за пользователя в нашей реальности 2026 года недоступна по понятным причинам.
- Ручные SSH-ключи через Ansible. Для парка до 5 серверов и до 3 пользователей — годное решение. Дальше становится неподдерживаемо.
В 9 случаях из 10 для российского SMB с парком Linux-серверов оптимальный выбор — это FreeIPA. Бесплатно, работает, поддерживается крупным сообществом и имеет нормальную документацию на английском.
Закажите аудит вашей Linux-инфраструктуры
На аудит к новым клиентам я выезжаю лично — по Москве и в радиусе 50 км от МКАД. Посмотрю, как у вас устроены доступы к серверам, найду «забытые» учётки, дам письменное заключение со списком уязвимостей и сметой на наведение порядка. Аудит бесплатный, без обязательств, результат — на руки.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы о FreeIPA для офиса
- Когда офису реально нужен FreeIPA?
- Когда у вас от 5 Linux-серверов и больше 3 человек, которым на них надо логиниться. До этого можно жить на локальных учётках и SSH-ключах. Выше — начинаются ошибки: уволенный сотрудник продолжает иметь доступ, потерянные ключи, разные пароли на разных серверах.
- FreeIPA или Active Directory?
- AD — для офисов на Windows. FreeIPA — для офисов с парком Linux-серверов. Их можно подружить через trust, и это нормальная практика для смешанных инфраструктур: AD для рабочих станций, FreeIPA для серверов.
- Сколько ресурсов жрёт FreeIPA?
- Для офиса до 200 пользователей и 50 серверов хватает виртуалки 2 vCPU, 4 GB RAM, 30 GB диска. Реплику ставить со второго месяца — для отказоустойчивости.
- Что будет, если FreeIPA-сервер упадёт?
- Если у вас одна реплика — пользователи не смогут залогиниться по новой сессии. Уже открытые SSH-сессии останутся живыми. Поэтому всегда ставим минимум 2 реплики и кешируем учётки локально через SSSD — он держит последние 7 дней даже при недоступности сервера.
- Сколько стоит внедрение FreeIPA в АйТи Фреш?
- Базовое развёртывание (2 реплики, заведение пользователей, подключение до 15 серверов, sudo-правила, базовые HBAC) — 100 000 руб. как разовый проект. Если у вас уже наша абонентка — входит в плановые работы при объёме до 10 серверов.