Re: Linux authentizace proti MS Win2003 serveru v nativním módu
Petr Klíma
petr.klima na madeta-group.cz
Pátek Září 16 15:21:41 CEST 2005
Ing. Pavel PaJaSoft Janoušek napsal(a):
> Zdravím,
>
> dostal jsem zajímavý úkol, který jsem ještě neřešil a tak se chci
> zeptat.
>
> Nechť máme centrální autentizační autoritu implementovanou
> prostřednictvím MS Windows 2003 serveru v Active Directory a celá doména
> běží v tzv. nativním módu (to je podstatné). Jak je zvykem, síť je
> heterogenní, od všelijakých UNIX like systémů, Windows workstations až po
> jablka. Já potřebuji, aby se uživatelé hlásící se k sezení na Linuxech
> autentizovali vůči této doméně - pro začátek stačí třeba pošta (definice
> shellu apod. prozatím můžeme minout, asi nebude nikdy využita). Načerpal
> jsem informace (a již dřívě měl za to), že celé se to dá stavět dvěmi
> odlišnými cestami:
>
> a) pam_smb (pam_ntdom je již 2 roky mrtvý projekt, tudíž asi těžko bude
> podporovat Win2003 server)
>
> b) nss_ldap
>
> Začnu od konce - nss_ldap je hezké, ale předpokládám, že bych na
> Linuxu musel vytvořit veškerou strukturu AD v LDAP (a replikovat ji z AD
> PDC) - zde narážím na první problém - jedna informace tvrdí, že AD není nic
> jiného, než jedno určité (byť neveřejné) LDAP schéma a objekty v něm, druhá
> zasvěcená informace tvrdí, že AD je sice LDAP, ale rozšířené o nějaké
> speciální objekty (které nelze v klasickém LDAPu tvořit) a tedy tudy cesta
> nevede. Které informace je správná nevím...
>
> pam_smb je zřejmě přímější cesta, zde ale pro změnu narážím na to,
> že vývoj verze 2 a kapabilities této revize (novější není) končí u NT 4.0
> domén a tedy mi to implikuje, že by Win2003 server musel bežet minimálně v
> mix módu (Win2k server), ne-li ještě degradovanějším (Win NT 4.0 PDC) a to
> je jedna z věcí, které nebudou průchodné z mnoha důvodů.
>
> Chci se proto zeptat, zda-li to někdo vůči Win2003 serveru v
> nativním módu provozuje a zda-li je některá z těchto cest ta správná a nebo
> existuje ještě jiná přímá cesta, kterou to lze v současné době než kolegové
> na reverzní inženýrství doplní do OSS software i tyto možnosti...
>
> Napadá mne to ještě řešit oklikou formou RADIUS serveru, případně
> neutrální centrální autoritu (Kerberos?) a i Win2003 PDC autentizovat vůči
> ní, tyto úvahy mám v záloze a nerad bych je hned aplikoval, byla-li by jiná
> cesta.
>
> Nemusí mne někdo vodit za ručičku, jsem poměrně soběstačný, ale o
> konkretní nakopnutí bych stál...:-)
>
1. AD je LDAP server (s MS object classama ...) tzn. daji se dohrat
object classes posixAccount ... problem je, ze při změně hesla v Win se
nezmění heslo v Unix prostředí
2. existuje MS produkt (zadarmo) se jménem MS service for UNIX, mimo
jine umožňuje integrovat UNX do AD včetně změny hesel ... není to vůbec
špatné, včetně mapování uživatelů Win(Petr Klíma)<=>Unx(klima), NFS,
tisku ... pokud máte přístup k tomu Win Serveru tak je to asi
nejkompletnější řešení.
3. doporučuji kouknout na winbindd
winbindd is a daemon that provides a number of services to the Name
Service Switch capability found in most modern C libraries, to ar-
bitary applications via PAM and ntlm_auth and to Samba itself.
Even if winbind is not used for nsswitch, it still provides a service
to smbd, ntlm_auth and the pam_winbind.so PAM module, by managing con-
nections to domain controllers. In this configuraiton the idmap uid
and idmap gid parameters are not required. (This is known as ‘netlogon
proxy only mode’.)
Další informace o konferenci Linux