From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <a.bokovoy@sam-solutions.net>
Date: Fri, 20 Sep 2002 10:01:46 +0300
From: Alexander Bokovoy <a.bokovoy@sam-solutions.net>
To: community@altlinux.ru
Subject: Re: [Comm] samba3 as PDC & Win2K
Message-ID: <20020920070146.GA20821@sam-solutions.net>
References: <02091916303203.11142@fileserver.masterlist.ru> <20020919222035.23ac218b.avl@l14.ru> <5515828550.20020919225230@park-net.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <5515828550.20020919225230@park-net.ru>
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.13
Precedence: bulk
Reply-To: community@altlinux.ru
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/20020920070146.GA20821@sam-solutions.net/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Thu, Sep 19, 2002 at 10:52:30PM +0400, grimnir wrote:
> Как работает как AD на Win2k-сервер понятно и опробовано, очень
> здорово:) сила, мощь, власть и удобство. Одно только управление всем
> доменом с любого Win2k компа чего стоит.
Ничего на самом деле здорового в этом нет. Сама реализация имеет очень
отвратительные свойства. Одно из них, например, позволяет, пользуясь
только привилегиями машинной учетной записи, устроить Denial of Service
любой Windows 2000/XP с любым сервис-паком.

> А в самбе мне не удалось почему то. Может читал плохо. сразу вопрос по
> теме в ADS-HowTo напрямую не указано, что самба теперь может выступать
> как AD server, но и не сказано, то  что не может. Так только клиент
> или  и сервер тоже?
Только клиент. Работа на серверной функциональностью сейчас идет
совместными усилиями IBM, Quantum, PADL Software и еще целого ряда
организаций. Кое-какие наработки уже есть.

> в керберос по умолчанию, как я понял используется Triple-DES, какое
> шифрование используется в SMB не в курсе, хотя может в /etc/krb.conf
> надо прописывать и для самбы как для рлогин всяких отдельные секции с
> параметрами [rlogin] [rsh] и т.д.
Самба сама указывает в GSSAPI, какие TGT требуются. Фактически, из
krb5.conf нужен только один или два параметра, а скоро для клиента вообще
ничего не надо будет.


> Да и багрепорт к kerberos, правда он к месту если AltLinux Team компилят
> бинарники сами.  Бага в том, что файл профиля записывается в
Естественно, сами.

> /etc/krb.conf по дефолту как profile=/var/lib/kerberos/krb5*/*.conf (где
> звездочки я прост сейчас не помню точное написание в этих местах), хм
> записываться то он конечно пишется, а вот только реально именование
> файла конфига профиля жестко зашито в бинарник  и есть оно
> /var/kerberos/* в общем то же самое что и по  дефолту в конфиге но без
> /lib/.  Очень я долго гадал по чему же все что в профиле я пишу
> пропадает в никуда, однако вот оно.
Это касается KDC? Исправлю. 
-- 
/ Alexander Bokovoy
---
Th' MIND is the Pizza Palace of th' SOUL