From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Fri, 20 Sep 2002 10:01:46 +0300 From: Alexander Bokovoy To: community@altlinux.ru Subject: Re: [Comm] samba3 as PDC & Win2K Message-ID: <20020920070146.GA20821@sam-solutions.net> References: <02091916303203.11142@fileserver.masterlist.ru> <20020919222035.23ac218b.avl@l14.ru> <5515828550.20020919225230@park-net.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <5515828550.20020919225230@park-net.ru> Sender: community-admin@altlinux.ru Errors-To: community-admin@altlinux.ru X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.0.13 Precedence: bulk Reply-To: community@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: On Thu, Sep 19, 2002 at 10:52:30PM +0400, grimnir wrote: > Как работает как AD на Win2k-сервер понятно и опробовано, очень > здорово:) сила, мощь, власть и удобство. Одно только управление всем > доменом с любого Win2k компа чего стоит. Ничего на самом деле здорового в этом нет. Сама реализация имеет очень отвратительные свойства. Одно из них, например, позволяет, пользуясь только привилегиями машинной учетной записи, устроить Denial of Service любой Windows 2000/XP с любым сервис-паком. > А в самбе мне не удалось почему то. Может читал плохо. сразу вопрос по > теме в ADS-HowTo напрямую не указано, что самба теперь может выступать > как AD server, но и не сказано, то что не может. Так только клиент > или и сервер тоже? Только клиент. Работа на серверной функциональностью сейчас идет совместными усилиями IBM, Quantum, PADL Software и еще целого ряда организаций. Кое-какие наработки уже есть. > в керберос по умолчанию, как я понял используется Triple-DES, какое > шифрование используется в SMB не в курсе, хотя может в /etc/krb.conf > надо прописывать и для самбы как для рлогин всяких отдельные секции с > параметрами [rlogin] [rsh] и т.д. Самба сама указывает в GSSAPI, какие TGT требуются. Фактически, из krb5.conf нужен только один или два параметра, а скоро для клиента вообще ничего не надо будет. > Да и багрепорт к kerberos, правда он к месту если AltLinux Team компилят > бинарники сами. Бага в том, что файл профиля записывается в Естественно, сами. > /etc/krb.conf по дефолту как profile=/var/lib/kerberos/krb5*/*.conf (где > звездочки я прост сейчас не помню точное написание в этих местах), хм > записываться то он конечно пишется, а вот только реально именование > файла конфига профиля жестко зашито в бинарник и есть оно > /var/kerberos/* в общем то же самое что и по дефолту в конфиге но без > /lib/. Очень я долго гадал по чему же все что в профиле я пишу > пропадает в никуда, однако вот оно. Это касается KDC? Исправлю. -- / Alexander Bokovoy --- Th' MIND is the Pizza Palace of th' SOUL