RE: Linux authentizace proti MS Win2003 serveru v nativním módu
petr.basta na dc.fjfi.cvut.cz
petr.basta na dc.fjfi.cvut.cz
Pátek Září 16 21:05:20 CEST 2005
Mam zprovoznene overovani pres winbind proti Win2003 domene v native modu na cca 30-ti pocitacich s Fedorou 4 pro 200 useru.
Zkuste se podivat na:
http://www.enterprisenetworkingplanet.com/netos/article.php/3502441
http://www.redmondmag.com/columns/article.asp?EditorialsID=858
Na pripojeni home adresare z Win serveru pouzivam pam_mount.
Zatím vse funguje OK.
Petr Basta at dc.fjfi.cvut.cz
> Zdravím,
>
> dostal jsem zajímavý úkol, který jsem ještě neřešil a
> tak se chci zeptat.
>
> Nechť máme centrální autentizační autoritu
> implementovanou prostřednictvím MS Windows 2003 serveru v
> Active Directory a celá doména běží v tzv. nativním módu (to
> je podstatné). Jak je zvykem, síť je heterogenní, od
> všelijakých UNIX like systémů, Windows workstations až po
> jablka. Já potřebuji, aby se uživatelé hlásící se k sezení na
> Linuxech autentizovali vůči této doméně - pro začátek stačí
> třeba pošta (definice shellu apod. prozatím můžeme minout,
> asi nebude nikdy využita). Načerpal jsem informace (a již
> dřívě měl za to), že celé se to dá stavět dvěmi odlišnými cestami:
>
> a) pam_smb (pam_ntdom je již 2 roky mrtvý projekt, tudíž asi
> těžko bude podporovat Win2003 server)
>
> b) nss_ldap
>
> Začnu od konce - nss_ldap je hezké, ale předpokládám,
> že bych na Linuxu musel vytvořit veškerou strukturu AD v LDAP
> (a replikovat ji z AD
> PDC) - zde narážím na první problém - jedna informace tvrdí,
> že AD není nic jiného, než jedno určité (byť neveřejné) LDAP
> schéma a objekty v něm, druhá zasvěcená informace tvrdí, že
> AD je sice LDAP, ale rozšířené o nějaké speciální objekty
> (které nelze v klasickém LDAPu tvořit) a tedy tudy cesta
> nevede. Které informace je správná nevím...
>
> pam_smb je zřejmě přímější cesta, zde ale pro změnu
> narážím na to, že vývoj verze 2 a kapabilities této revize
> (novější není) končí u NT 4.0 domén a tedy mi to implikuje,
> že by Win2003 server musel bežet minimálně v mix módu (Win2k
> server), ne-li ještě degradovanějším (Win NT 4.0 PDC) a to je
> jedna z věcí, které nebudou průchodné z mnoha důvodů.
>
> Chci se proto zeptat, zda-li to někdo vůči Win2003
> serveru v nativním módu provozuje a zda-li je některá z
> těchto cest ta správná a nebo existuje ještě jiná přímá
> cesta, kterou to lze v současné době než kolegové na reverzní
> inženýrství doplní do OSS software i tyto možnosti...
>
> Napadá mne to ještě řešit oklikou formou RADIUS
> serveru, případně neutrální centrální autoritu (Kerberos?) a
> i Win2003 PDC autentizovat vůči ní, tyto úvahy mám v záloze a
> nerad bych je hned aplikoval, byla-li by jiná cesta.
>
> Nemusí mne někdo vodit za ručičku, jsem poměrně
> soběstačný, ale o konkretní nakopnutí bych stál...:-)
>
> Ing. Pavel Janoušek
> technická podpora
>
> E-mail: janousek na fonet.cz
> FoNet, spol. s r.o.
> Sokolova 67, 619 00 Brno
> Tel.: +420 543 244 749
> Fax.: +420 543 244 751
> WWW : http://WWW.FoNet.Cz/
>
Další informace o konferenci Linux