Linux authentizace proti MS Win2003 serveru v nativním módu

Ing. Pavel PaJaSoft Janoušek PaJaSoft na FoNet.Cz
Pátek Září 16 14:34:04 CEST 2005 

	Zdravím,

	dostal jsem zajímavý úkol, který jsem ještě neřešil a tak se chci
zeptat. 

	Nechť máme centrální autentizační autoritu implementovanou
prostřednictvím MS Windows 2003 serveru v Active Directory a celá doména
běží v tzv. nativním módu (to je podstatné). Jak je zvykem, síť je
heterogenní, od všelijakých UNIX like systémů, Windows workstations až po
jablka. Já potřebuji, aby se uživatelé hlásící se k sezení na Linuxech
autentizovali vůči této doméně - pro začátek stačí třeba pošta (definice
shellu apod. prozatím můžeme minout, asi nebude nikdy využita). Načerpal
jsem informace (a již dřívě měl za to), že celé se to dá stavět dvěmi
odlišnými cestami:

a) pam_smb (pam_ntdom je již 2 roky mrtvý projekt, tudíž asi těžko bude
podporovat Win2003 server)

b) nss_ldap

	Začnu od konce - nss_ldap je hezké, ale předpokládám, že bych na
Linuxu musel vytvořit veškerou strukturu AD v LDAP (a replikovat ji z AD
PDC) - zde narážím na první problém - jedna informace tvrdí, že AD není nic
jiného, než jedno určité (byť neveřejné) LDAP schéma a objekty v něm, druhá
zasvěcená informace tvrdí, že AD je sice LDAP, ale rozšířené o nějaké
speciální objekty (které nelze v klasickém LDAPu tvořit) a tedy tudy cesta
nevede. Které informace je správná nevím...

	pam_smb je zřejmě přímější cesta, zde ale pro změnu narážím na to,
že vývoj verze 2 a kapabilities této revize (novější není) končí u NT 4.0
domén a tedy mi to implikuje, že by Win2003 server musel bežet minimálně v
mix módu (Win2k server), ne-li ještě degradovanějším (Win NT 4.0 PDC) a to
je jedna z věcí, které nebudou průchodné z mnoha důvodů.

	Chci se proto zeptat, zda-li to někdo vůči Win2003 serveru v
nativním módu provozuje a zda-li je některá z těchto cest ta správná a nebo
existuje ještě jiná přímá cesta, kterou to lze v současné době než kolegové
na reverzní inženýrství doplní do OSS software i tyto možnosti...

	Napadá mne to ještě řešit oklikou formou RADIUS serveru, případně
neutrální centrální autoritu (Kerberos?) a i Win2003 PDC autentizovat vůči
ní, tyto úvahy mám v záloze a nerad bych je hned aplikoval, byla-li by jiná
cesta.

	Nemusí mne někdo vodit za ručičku, jsem poměrně soběstačný, ale o
konkretní nakopnutí bych stál...:-)

Ing. Pavel Janoušek
technická podpora

E-mail: janousek na fonet.cz
FoNet, spol. s r.o.
Sokolova 67, 619 00 Brno
Tel.: +420 543 244 749
Fax.: +420 543 244 751
WWW : http://WWW.FoNet.Cz/

Další informace o konferenci Linux