Re: Linux authentizace proti MS Win2003 serveru v nativním módu

Petr Klíma petr.klima na madeta-group.cz
Pátek Září 16 15:21:41 CEST 2005 

Ing. Pavel PaJaSoft Janoušek napsal(a):
> 	Zdravím,
> 
> 	dostal jsem zajímavý úkol, který jsem ještě neřešil a tak se chci
> zeptat. 
> 
> 	Nechť máme centrální autentizační autoritu implementovanou
> prostřednictvím MS Windows 2003 serveru v Active Directory a celá doména
> běží v tzv. nativním módu (to je podstatné). Jak je zvykem, síť je
> heterogenní, od všelijakých UNIX like systémů, Windows workstations až po
> jablka. Já potřebuji, aby se uživatelé hlásící se k sezení na Linuxech
> autentizovali vůči této doméně - pro začátek stačí třeba pošta (definice
> shellu apod. prozatím můžeme minout, asi nebude nikdy využita). Načerpal
> jsem informace (a již dřívě měl za to), že celé se to dá stavět dvěmi
> odlišnými cestami:
> 
> a) pam_smb (pam_ntdom je již 2 roky mrtvý projekt, tudíž asi těžko bude
> podporovat Win2003 server)
> 
> b) nss_ldap
> 
> 	Začnu od konce - nss_ldap je hezké, ale předpokládám, že bych na
> Linuxu musel vytvořit veškerou strukturu AD v LDAP (a replikovat ji z AD
> PDC) - zde narážím na první problém - jedna informace tvrdí, že AD není nic
> jiného, než jedno určité (byť neveřejné) LDAP schéma a objekty v něm, druhá
> zasvěcená informace tvrdí, že AD je sice LDAP, ale rozšířené o nějaké
> speciální objekty (které nelze v klasickém LDAPu tvořit) a tedy tudy cesta
> nevede. Které informace je správná nevím...
> 
> 	pam_smb je zřejmě přímější cesta, zde ale pro změnu narážím na to,
> že vývoj verze 2 a kapabilities této revize (novější není) končí u NT 4.0
> domén a tedy mi to implikuje, že by Win2003 server musel bežet minimálně v
> mix módu (Win2k server), ne-li ještě degradovanějším (Win NT 4.0 PDC) a to
> je jedna z věcí, které nebudou průchodné z mnoha důvodů.
> 
> 	Chci se proto zeptat, zda-li to někdo vůči Win2003 serveru v
> nativním módu provozuje a zda-li je některá z těchto cest ta správná a nebo
> existuje ještě jiná přímá cesta, kterou to lze v současné době než kolegové
> na reverzní inženýrství doplní do OSS software i tyto možnosti...
> 
> 	Napadá mne to ještě řešit oklikou formou RADIUS serveru, případně
> neutrální centrální autoritu (Kerberos?) a i Win2003 PDC autentizovat vůči
> ní, tyto úvahy mám v záloze a nerad bych je hned aplikoval, byla-li by jiná
> cesta.
> 
> 	Nemusí mne někdo vodit za ručičku, jsem poměrně soběstačný, ale o
> konkretní nakopnutí bych stál...:-)
> 

1. AD je LDAP server (s MS object classama ...) tzn. daji se dohrat 
object classes posixAccount ... problem je, ze při změně hesla v Win se 
nezmění heslo v Unix prostředí

2. existuje MS produkt (zadarmo) se jménem MS service for UNIX, mimo 
jine umožňuje integrovat UNX do AD včetně změny hesel ... není to vůbec 
špatné, včetně mapování uživatelů Win(Petr Klíma)<=>Unx(klima), NFS, 
tisku ... pokud máte přístup k tomu Win Serveru tak je to asi 
nejkompletnější řešení.

3. doporučuji kouknout na winbindd
  winbindd  is  a  daemon that provides a number of services to the Name
  Service Switch capability found in most modern  C  libraries,  to  ar-
  bitary applications via PAM and ntlm_auth and to Samba itself.

  Even  if winbind is not used for nsswitch, it still provides a service
  to smbd, ntlm_auth and the pam_winbind.so PAM module, by managing con-
  nections  to  domain  controllers. In this configuraiton the idmap uid
  and idmap gid parameters are not required. (This is known as ‘netlogon
  proxy only mode’.)

Další informace o konferenci Linux