RE: Linux authentizace proti MS Win2003 serveru v nativním módu

petr.basta na dc.fjfi.cvut.cz petr.basta na dc.fjfi.cvut.cz
Pátek Září 16 21:05:20 CEST 2005 

Mam zprovoznene overovani pres winbind proti Win2003 domene v native modu na cca 30-ti pocitacich s Fedorou 4 pro 200 useru.
Zkuste se podivat na:
http://www.enterprisenetworkingplanet.com/netos/article.php/3502441
http://www.redmondmag.com/columns/article.asp?EditorialsID=858

Na pripojeni home adresare z Win serveru pouzivam pam_mount.
Zatím vse funguje OK.


Petr Basta at dc.fjfi.cvut.cz 

> 	Zdravím,
> 
> 	dostal jsem zajímavý úkol, který jsem ještě neřešil a 
> tak se chci zeptat. 
> 
> 	Nechť máme centrální autentizační autoritu 
> implementovanou prostřednictvím MS Windows 2003 serveru v 
> Active Directory a celá doména běží v tzv. nativním módu (to 
> je podstatné). Jak je zvykem, síť je heterogenní, od 
> všelijakých UNIX like systémů, Windows workstations až po 
> jablka. Já potřebuji, aby se uživatelé hlásící se k sezení na 
> Linuxech autentizovali vůči této doméně - pro začátek stačí 
> třeba pošta (definice shellu apod. prozatím můžeme minout, 
> asi nebude nikdy využita). Načerpal jsem informace (a již 
> dřívě měl za to), že celé se to dá stavět dvěmi odlišnými cestami:
> 
> a) pam_smb (pam_ntdom je již 2 roky mrtvý projekt, tudíž asi 
> těžko bude podporovat Win2003 server)
> 
> b) nss_ldap
> 
> 	Začnu od konce - nss_ldap je hezké, ale předpokládám, 
> že bych na Linuxu musel vytvořit veškerou strukturu AD v LDAP 
> (a replikovat ji z AD
> PDC) - zde narážím na první problém - jedna informace tvrdí, 
> že AD není nic jiného, než jedno určité (byť neveřejné) LDAP 
> schéma a objekty v něm, druhá zasvěcená informace tvrdí, že 
> AD je sice LDAP, ale rozšířené o nějaké speciální objekty 
> (které nelze v klasickém LDAPu tvořit) a tedy tudy cesta 
> nevede. Které informace je správná nevím...
> 
> 	pam_smb je zřejmě přímější cesta, zde ale pro změnu 
> narážím na to, že vývoj verze 2 a kapabilities této revize 
> (novější není) končí u NT 4.0 domén a tedy mi to implikuje, 
> že by Win2003 server musel bežet minimálně v mix módu (Win2k 
> server), ne-li ještě degradovanějším (Win NT 4.0 PDC) a to je 
> jedna z věcí, které nebudou průchodné z mnoha důvodů.
> 
> 	Chci se proto zeptat, zda-li to někdo vůči Win2003 
> serveru v nativním módu provozuje a zda-li je některá z 
> těchto cest ta správná a nebo existuje ještě jiná přímá 
> cesta, kterou to lze v současné době než kolegové na reverzní 
> inženýrství doplní do OSS software i tyto možnosti...
> 
> 	Napadá mne to ještě řešit oklikou formou RADIUS 
> serveru, případně neutrální centrální autoritu (Kerberos?) a 
> i Win2003 PDC autentizovat vůči ní, tyto úvahy mám v záloze a 
> nerad bych je hned aplikoval, byla-li by jiná cesta.
> 
> 	Nemusí mne někdo vodit za ručičku, jsem poměrně 
> soběstačný, ale o konkretní nakopnutí bych stál...:-)
> 
> Ing. Pavel Janoušek
> technická podpora
> 
> E-mail: janousek na fonet.cz
> FoNet, spol. s r.o.
> Sokolova 67, 619 00 Brno
> Tel.: +420 543 244 749
> Fax.: +420 543 244 751
> WWW : http://WWW.FoNet.Cz/ 
>

Další informace o konferenci Linux