winbind a mailserver

Michal Dobes dobes na tesnet.cz
Neděle Prosinec 2 20:07:28 CET 2001 

Jan Đvec wrote:
> pam_smb jsem chtel puvodne pouzit, ale poradil jste mi pouzit Winbind
> (ze je to modernejsi reseni ;) Takze pomoci Winbindu to nejde ?

Asi to jde, akorat je neprijemne, ze uzivatele musi mit jmena ve tvaru
domena+jmeno, coz je trochu nepohodlne (pokud se nic nezmenilo behem
poslednich nekolika mesicu).

> Co se pam_smb tyce, nekdo tady psal, ze ma potize pri vetsi zatezi
> (potrebuji overovat tak 150 stroju behem kazdych peti minut). Je to
> pravda ? Pokud ano a winbind neni vhodny, je jeste nejaka jina moznost ?

To jsem tvrdil ja. Projevuje se to tak, ze pam_smb zacne vracet, 
ze heslo je spatne. Oblibene misto vzniku je z nsnotify, coz je 
utilitka od Netscape na zjistovani, zda neni nova posta. Vypada to,
ze jak se zacne sypat po sobe vicero dotazu, tak to zace blbnout.
Moje teorie na zaklade pozorovani je, ze autorizace zhavaruje 
v okamziku, kdy behem cca 2 sekund po sobe je ze stejne IP adresy
dotaz na autorizaci ruznych uzivatelu. 
Resenim by mohlo byt pouziti devel verze pam_smb, ta umi dotazy na
autorizaci kesovat (pres rok na to nikdo nesahl).
Jiny projekt delajici to same je pam_ntdom, ale na to 1.5 roku 
nikdo nesahl a bojim se, ze to bude mit stejne problemy.

> (treba neoverovat na PDC, ale synchronizovat hesla na Linuxu s hesly na
> PDC ?).

S tim jsem travil dnesni odpoledne. Existuje totiz Microsoft SFU
(services for unix), ktere krom jineho umi i synchronizovat hesla
mezi unix a NT. Zkousel jsem verzi 2.0 na RH7.1 a bez uspechu.
Modul pro synchronizaci hesel je prelozen pro RH5.2 a blbne to.
Pri synchronizaci ve smeru NT->linux to neprepise heslo (prestoze
to do /etc/shadow sahne a i zjisti, zda souhlasi stare heslo Win-LIN).
Ve smeru Linux->WinNT to nastavi pokazde prazdne heslo (opet si prvne
uspesne zjisti, zda stara hesla jsou stejna).
Jsou u toho i zdrojaky, ale neuspel jsem, jaksi tam chybi nektere
knihovny na sifrovani. :-((
Jeste letos by se melo objevit MS SFU 3.0, uvidime. Pokud by to
fungovalo, tak se za to tech 6 kKc da dat.
Existuji stejne aplikace od dalsich firem, ale tam uz byla nechutna
cena.

Dalsi reseni je za predpoladu, ze mate Win2000 server, pak muzete
pouzit pam_krb5 nebo opet SFU a Win2000 provozovat jako NIS server
a autorizovat na nej.

	Majkl

Další informace o konferenci Linux