Linux_authentizace_proti_MS_Win2003_serveru

[Antonin Mares]

Nezvazoval jste pouziti pam_krb? Kdysi jsem si s tim chvili hral s umyslem 
nahradit pam_smb.

Tonda Mares


On Fri, 16 Sep 2005, [iso-8859-2] Ing. Pavel PaJaSoft Janou.ek wrote:

> 	Zdravím,
> 
> 	dostal jsem zajímavý úkol, který jsem je.t. ne.e.il a tak se chci 
> zeptat.
> 
> 	Nech. máme centrální autentiza.ní autoritu implementovanou 
> prost.ednictvím MS Windows 2003 serveru v Active Directory a celá 
> doména b..í v tzv. nativním módu (to je podstatné). Jak je zvykem, sí. 
> je heterogenní, od v.elijakých UNIX like systém., Windows workstations 
> a. po jablka. Já pot.ebuji, aby se u.ivatelé hlásící se k sezení na 
> Linuxech autentizovali v..i této domén. - pro za.átek sta.í t.eba 
> po.ta (definice shellu apod. prozatím m..eme minout, asi nebude nikdy 
> vyu.ita). Na.erpal jsem informace (a ji. d.ív. m.l za to), .e celé se 
> to dá stav.t dv.mi odli.nými cestami:
> 
> a) pam_smb (pam_ntdom je ji. 2 roky mrtvý projekt, tudí. asi t..ko 
> bude podporovat Win2003 server)
> 
> b) nss_ldap
> 
> 	Za.nu od konce - nss_ldap je hezké, ale p.edpokládám, .e bych na 
> Linuxu musel vytvo.it ve.kerou strukturu AD v LDAP (a replikovat ji z 
> AD
> PDC) - zde nará.ím na první problém - jedna informace tvrdí, .e AD 
> není nic jiného, ne. jedno ur.ité (by. neve.ejné) LDAP schéma a 
> objekty v n.m, druhá zasv.cená informace tvrdí, .e AD je sice LDAP, 
> ale roz.í.ené o n.jaké speciální objekty (které nelze v klasickém 
> LDAPu tvo.it) a tedy tudy cesta nevede. Které informace je správná 
nevím...
> 
> 	pam_smb je z.ejm. p.ím.j.í cesta, zde ale pro zm.nu nará.ím na to, 
.e 
> vývoj verze 2 a kapabilities této revize (nov.j.í není) kon.í u NT 4.0 
> domén a tedy mi to implikuje, .e by Win2003 server musel be.et 
> minimáln. v mix módu (Win2k server), ne-li je.t. degradovan.j.ím (Win 
> NT 4.0 PDC) a to je jedna z v.cí, které nebudou pr.chodné z mnoha 
d.vod..
> 
> 	Chci se proto zeptat, zda-li to n.kdo v..i Win2003 serveru v 
nativním 
> módu provozuje a zda-li je n.která z t.chto cest ta správná a nebo 
> existuje je.t. jiná p.ímá cesta, kterou to lze v sou.asné dob. ne. 
> kolegové na reverzní in.enýrství doplní do OSS software i tyto 
mo.nosti...
> 
> 	Napadá mne to je.t. .e.it oklikou formou RADIUS serveru, p.ípadn. 
> neutrální centrální autoritu (Kerberos?) a i Win2003 PDC autentizovat 
> v..i ní, tyto úvahy mám v záloze a nerad bych je hned aplikoval, 
> byla-li by jiná cesta.
> 
> 	Nemusí mne n.kdo vodit za ru.i.ku, jsem pom.rn. sob.sta.ný, ale o 
> konkretní nakopnutí bych stál...:-)