RE: Linux authentizace proti MS Win2003 serveru v nativním módu

Petr Kincl pkincl na synergy.cz
Pátek Září 16 14:59:11 CEST 2005 

Co zkusit IIS_Authentication_service - jednoduchy RADIUS server, ktery si bere udaje z domeny. Funguje spolehlive napr. proti Ciscu, tak by snad mel fungovat i proti Linuxu. Ale konkretne jsem to nezkousel.
Petr Kincl

-----Original Message-----
From: Ing. Pavel PaJaSoft Janoušek [mailto:PaJaSoft na FoNet.Cz]
Sent: Friday, September 16, 2005 2:34 PM
To: linux na linux.cz
Subject: Linux authentizace proti MS Win2003 serveru v nativním módu


	Zdravím,

	dostal jsem zajímavý úkol, který jsem ještě neřešil a tak se chci
zeptat. 

	Nechť máme centrální autentizační autoritu implementovanou
prostřednictvím MS Windows 2003 serveru v Active Directory a celá doména
běží v tzv. nativním módu (to je podstatné). Jak je zvykem, síť je
heterogenní, od všelijakých UNIX like systémů, Windows workstations až po
jablka. Já potřebuji, aby se uživatelé hlásící se k sezení na Linuxech
autentizovali vůči této doméně - pro začátek stačí třeba pošta (definice
shellu apod. prozatím můžeme minout, asi nebude nikdy využita). Načerpal
jsem informace (a již dřívě měl za to), že celé se to dá stavět dvěmi
odlišnými cestami:

a) pam_smb (pam_ntdom je již 2 roky mrtvý projekt, tudíž asi těžko bude
podporovat Win2003 server)

b) nss_ldap

	Začnu od konce - nss_ldap je hezké, ale předpokládám, že bych na
Linuxu musel vytvořit veškerou strukturu AD v LDAP (a replikovat ji z AD
PDC) - zde narážím na první problém - jedna informace tvrdí, že AD není nic
jiného, než jedno určité (byť neveřejné) LDAP schéma a objekty v něm, druhá
zasvěcená informace tvrdí, že AD je sice LDAP, ale rozšířené o nějaké
speciální objekty (které nelze v klasickém LDAPu tvořit) a tedy tudy cesta
nevede. Které informace je správná nevím...

	pam_smb je zřejmě přímější cesta, zde ale pro změnu narážím na to,
že vývoj verze 2 a kapabilities této revize (novější není) končí u NT 4.0
domén a tedy mi to implikuje, že by Win2003 server musel bežet minimálně v
mix módu (Win2k server), ne-li ještě degradovanějším (Win NT 4.0 PDC) a to
je jedna z věcí, které nebudou průchodné z mnoha důvodů.

	Chci se proto zeptat, zda-li to někdo vůči Win2003 serveru v
nativním módu provozuje a zda-li je některá z těchto cest ta správná a nebo
existuje ještě jiná přímá cesta, kterou to lze v současné době než kolegové
na reverzní inženýrství doplní do OSS software i tyto možnosti...

	Napadá mne to ještě řešit oklikou formou RADIUS serveru, případně
neutrální centrální autoritu (Kerberos?) a i Win2003 PDC autentizovat vůči
ní, tyto úvahy mám v záloze a nerad bych je hned aplikoval, byla-li by jiná
cesta.

	Nemusí mne někdo vodit za ručičku, jsem poměrně soběstačný, ale o
konkretní nakopnutí bych stál...:-)

Ing. Pavel Janoušek
technická podpora

Další informace o konferenci Linux