From: "Anthony" <ath@isk-clever.ru>
To: community@altlinux.ru
Subject: [Comm] AD LDAP под юниксовые нужды
Date: Tue, 1 Feb 2005 12:38:27 +0300
Message-ID: <20050201093740.M96741@isk-clever.ru> (raw)
Доброго всем дня.
Есть у меня одна интересная идея.
Собственно вот окуда у неё растут ноги:
журнал "Системный администратор" №12 от декабря 2004 - Единая учётная запись
для Windows и UNIX в Active Directory. - Игорь Полянский.
В настоящее время достаточно подробно описан способ как можно авторизоваться
на юниксе при помощи samba-winbind
В приведенном источнике описывается альтернативный способ (на мой взгляд
идеологически более правильный) как реализовать почти тоже самое но без
промежуточного звена - samba, а при помощи модуля аутентификации pam_ldap.
В MS AD добавляется схема под юниксовые аккаунты, где хранятся пароль, uid,
gid, shell и т. п. Как утверждает автор, добавить такую схему проще всего
установив на машину с AD SFU (Service For Unix), в результате появляются
соответствующие записи во вкладке юзера. В LDAP браузере их можно без труда
лицезреть:
msSFU30Name: admin2
msSFU30UidNumber: 10002
msSFU30GidNumber: 10000
msSFU30LoginShell: /bin/bash
msSFU30Password: ABCD!efgh12345$67890
msSFU30NisDomain: clevers
msSFU30HomeDirectory: /home/admin2
После чего настраиваются модули pam и nsswitch. Вот после чего у нас
появляется возможность использовать непосредственно AD для различного рода
авторизаций и т п
Где и кому это нужно каждый сам решит, вот у меня есть желание для некоторых
юзеров локалки автоматом предоставлять доступ к почтовому ящику и управлять
доступом в инет - если всё это будет рулиться централизовано - забот
поубавится и в голове место освободится ))
Ну что? Единомышленники есть?
Кому интересно будем дружить ))
На данный момент вкрячил в AD SFU3.5 (http://www.microsoft.com/windows/sfu)
В линукс имплантировал pam_ldap, nsswitch - всё правим по ситуации,
настраиваеи соединение ldap.conf, где указываем чё и где nss будет мапить.
В доках к pam_ldap уже есть готовый system-auth, им можно смело заменить то
что у вас лежит в /etc/pam.d/ , а дальше... дальше будем посмотреть
!!! Минздрав предупреждает !!! - игры с pam чреваты серьёзными последствиями
для вашего компьютера!
(Может получиться так что собака не признает своего хозяина и не пустит в дом
поэтму рекомендуется держать ещё одну дверь открытой :))
Если всё нормально, то команда:
getent passwd
выдаст в добавок к системным логинам ещё и логины в AD для которых имеются
записи SFU.
Вот вроде всё что я пока сделал. Далее идут грабли, но не страшные:
Не получается поднять модуль pam_ldap для какой-нибудь из служб, например
sshd. Я попробовал добавить в эту цепочку sufficient pam_ldap.so, но при
попытке коннекта по ssh меня учтиво посылают, а в логах наблюдаю
sshd: .... "Unknown user" ...
pam_tcb: .... "UNKNOWN USER"...
Как видно дело до pam_ldap не доходит :((
- Нужен тот кто писал настройки модулей PAM, т к в альте успешно используется
TCB, то тут возникает куча нюансов, поэтому как бы так аккуратно добавить
модуль pam_ldap совместно с остальными, чтобы ничего не нарушить.
С уважением, Антон
--
ООО "ИСК "Клевер"
next reply other threads:[~2005-02-01 9:38 UTC|newest]
Thread overview: 15+ messages / expand[flat|nested] mbox.gz Atom feed top
2005-02-01 9:38 Anthony [this message]
2005-02-01 9:43 ` [Comm] " Michael Shigorin
2005-02-01 10:27 ` Anthony
2005-02-01 10:44 ` Michael Shigorin
2005-02-01 11:25 ` Nick S. Grechukh
2005-02-01 11:49 ` Anthony
2005-02-01 12:05 ` [Comm] [JT] " Michael Shigorin
2005-02-01 13:50 ` [Comm] " Alexander Bokovoy
2005-02-02 6:49 ` Anthony
2005-02-02 8:40 ` Alexander Bokovoy
2005-02-02 11:46 ` Nick S. Grechukh
2005-02-02 11:53 ` Alexander Bokovoy
2005-02-02 16:28 ` Nick S. Grechukh
2005-02-02 19:53 ` Anthony
2005-02-02 12:21 ` Alexander Bokovoy
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20050201093740.M96741@isk-clever.ru \
--to=ath@isk-clever.ru \
--cc=community@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git