23.04.2013 15:33, Владимир Скубриев пишет:
Схема именно от samba 3 из пакета smbldap-tools ?
Насколько я понял без это схемы windows машину не введешь в домен
стандартными способами.
Кстати ведь существует способ аутентификации через клиент kerberos от
MIT и не много не автоматизированную установку на windows клиентах:
http://freeipa.org/page/Implementing_FreeIPA_in_a_mixed_Environment_(Windows/Linux)_-_Step_by_step
<http://freeipa.org/page/Implementing_FreeIPA_in_a_mixed_Environment_%28Windows/Linux%29_-_Step_by_step>
Правда на счет перечисления пользователей я не совсем понимаю, как оно
настраивается. В том плане, можно ли жить без расширения схем samba и
rfc2703bis с клиентами windows и вот этой инструкцией.
Я долго и упорно пытался понять как можно ввести Windows машину в
Kerberos домен на Linux... Из того, что я понял:
1) Windows машина не должна быть в домене (только рабочая группа).
2) Каждому Kerberos пользователю, который должен аутентифицироваться на
конкретной windows-машине нужно создать ЛОКАЛЬНУЮ учётку, совпадающую с
учёткой в Kerberos. Т.е. если пользователь есть в Kerberos, но не создан
локально, то он не сможет залогиниться на компьютере.
3) Выполнить ряд простых операций на клиенте.
IMHO, из-за второго пункта эта схема практически бессмысленна.
Кстати rfc2703bis схему используете? Что в ней такого особенного если
не секрет - в двух словах ? И можно ли её использовать в линукс
окружении ?
Как то в моей голове сложилась чёткая связь, что возможность
использовать "memberOf" добавляется через rfc2703bis. Возможно ложная,
т.к. до сих пор с этим не столкнулся.
Все правильно что ушли. Он( libpam-ldap) мне от старого админа
достался. Сейчас все делаю на libpam-ldapd и nslcd.
На счет кэша ище не дошел. Обидно что у вас не работает. Надеялся что
все настроиться из коробки - без особых ухищрений через конфиги.
Насколько помню, то для работы pam_ccred нужен скрипт для синхронизации
учётных пользователей, который запускается через CRON. Я считаю такую
схему неприемлемой и даже если бы оно заработало, то вариант с sssd мне
нравится гораздо больше.
Изрядно помучившись с поиском работающего решения для рабочих станций
я остановился на pam-sss. Он очень просто настраивается и как раз
задуман для использования связки ldap и kerberos (основа FreeIPA) или
для интеграции Linux в инфраструктуру AD без излишней сложности.
Может быть он того и стоит. Может на нем и остановлюсь. Но пока
планировал krb,ldap в случае проблем с krb.
Точно стоит :)
Просто критической массы документации не накопилось, чтобы этот вариант
находился с такой же лёгкостью как тот-же pam-ldap.
--
С уважением,
Кубашин Александр