Linux_authentizace_proti_MS_Win2003_serveru
Antonin Mares
Antonin.Mares na vscht.cz
Pátek Září 16 14:42:13 CEST 2005
Nezvazoval jste pouziti pam_krb? Kdysi jsem si s tim chvili hral s umyslem
nahradit pam_smb.
Tonda Mares
On Fri, 16 Sep 2005, [iso-8859-2] Ing. Pavel PaJaSoft Janou.ek wrote:
> Zdravím,
>
> dostal jsem zajímavý úkol, který jsem je.t. ne.e.il a tak se chci
> zeptat.
>
> Nech. máme centrální autentiza.ní autoritu implementovanou
> prost.ednictvím MS Windows 2003 serveru v Active Directory a celá
> doména b..í v tzv. nativním módu (to je podstatné). Jak je zvykem, sí.
> je heterogenní, od v.elijakých UNIX like systém., Windows workstations
> a. po jablka. Já pot.ebuji, aby se u.ivatelé hlásící se k sezení na
> Linuxech autentizovali v..i této domén. - pro za.átek sta.í t.eba
> po.ta (definice shellu apod. prozatím m..eme minout, asi nebude nikdy
> vyu.ita). Na.erpal jsem informace (a ji. d.ív. m.l za to), .e celé se
> to dá stav.t dv.mi odli.nými cestami:
>
> a) pam_smb (pam_ntdom je ji. 2 roky mrtvý projekt, tudí. asi t..ko
> bude podporovat Win2003 server)
>
> b) nss_ldap
>
> Za.nu od konce - nss_ldap je hezké, ale p.edpokládám, .e bych na
> Linuxu musel vytvo.it ve.kerou strukturu AD v LDAP (a replikovat ji z
> AD
> PDC) - zde nará.ím na první problém - jedna informace tvrdí, .e AD
> není nic jiného, ne. jedno ur.ité (by. neve.ejné) LDAP schéma a
> objekty v n.m, druhá zasv.cená informace tvrdí, .e AD je sice LDAP,
> ale roz.í.ené o n.jaké speciální objekty (které nelze v klasickém
> LDAPu tvo.it) a tedy tudy cesta nevede. Které informace je správná
nevím...
>
> pam_smb je z.ejm. p.ím.j.í cesta, zde ale pro zm.nu nará.ím na to,
.e
> vývoj verze 2 a kapabilities této revize (nov.j.í není) kon.í u NT 4.0
> domén a tedy mi to implikuje, .e by Win2003 server musel be.et
> minimáln. v mix módu (Win2k server), ne-li je.t. degradovan.j.ím (Win
> NT 4.0 PDC) a to je jedna z v.cí, které nebudou pr.chodné z mnoha
d.vod..
>
> Chci se proto zeptat, zda-li to n.kdo v..i Win2003 serveru v
nativním
> módu provozuje a zda-li je n.která z t.chto cest ta správná a nebo
> existuje je.t. jiná p.ímá cesta, kterou to lze v sou.asné dob. ne.
> kolegové na reverzní in.enýrství doplní do OSS software i tyto
mo.nosti...
>
> Napadá mne to je.t. .e.it oklikou formou RADIUS serveru, p.ípadn.
> neutrální centrální autoritu (Kerberos?) a i Win2003 PDC autentizovat
> v..i ní, tyto úvahy mám v záloze a nerad bych je hned aplikoval,
> byla-li by jiná cesta.
>
> Nemusí mne n.kdo vodit za ru.i.ku, jsem pom.rn. sob.sta.ný, ale o
> konkretní nakopnutí bych stál...:-)
Další informace o konferenci Linux