From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: "Anthony" To: community@altlinux.ru Date: Tue, 1 Feb 2005 12:38:27 +0300 Message-Id: <20050201093740.M96741@isk-clever.ru> X-Mailer: Open WebMail 2.32 20040709 X-OriginatingIP: 80.82.171.74 (ath) MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Subject: [Comm] =?koi8-r?b?QUQgTERBUCDQz8QgwM7Jy9PP19nFIM7V1sTZ?= X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 01 Feb 2005 09:38:29 -0000 Archived-At: List-Archive: List-Post: Доброго всем дня. Есть у меня одна интересная идея. Собственно вот окуда у неё растут ноги: журнал "Системный администратор" №12 от декабря 2004 - Единая учётная запись для Windows и UNIX в Active Directory. - Игорь Полянский. В настоящее время достаточно подробно описан способ как можно авторизоваться на юниксе при помощи samba-winbind В приведенном источнике описывается альтернативный способ (на мой взгляд идеологически более правильный) как реализовать почти тоже самое но без промежуточного звена - samba, а при помощи модуля аутентификации pam_ldap. В MS AD добавляется схема под юниксовые аккаунты, где хранятся пароль, uid, gid, shell и т. п. Как утверждает автор, добавить такую схему проще всего установив на машину с AD SFU (Service For Unix), в результате появляются соответствующие записи во вкладке юзера. В LDAP браузере их можно без труда лицезреть: msSFU30Name: admin2 msSFU30UidNumber: 10002 msSFU30GidNumber: 10000 msSFU30LoginShell: /bin/bash msSFU30Password: ABCD!efgh12345$67890 msSFU30NisDomain: clevers msSFU30HomeDirectory: /home/admin2 После чего настраиваются модули pam и nsswitch. Вот после чего у нас появляется возможность использовать непосредственно AD для различного рода авторизаций и т п Где и кому это нужно каждый сам решит, вот у меня есть желание для некоторых юзеров локалки автоматом предоставлять доступ к почтовому ящику и управлять доступом в инет - если всё это будет рулиться централизовано - забот поубавится и в голове место освободится )) Ну что? Единомышленники есть? Кому интересно будем дружить )) На данный момент вкрячил в AD SFU3.5 (http://www.microsoft.com/windows/sfu) В линукс имплантировал pam_ldap, nsswitch - всё правим по ситуации, настраиваеи соединение ldap.conf, где указываем чё и где nss будет мапить. В доках к pam_ldap уже есть готовый system-auth, им можно смело заменить то что у вас лежит в /etc/pam.d/ , а дальше... дальше будем посмотреть !!! Минздрав предупреждает !!! - игры с pam чреваты серьёзными последствиями для вашего компьютера! (Может получиться так что собака не признает своего хозяина и не пустит в дом поэтму рекомендуется держать ещё одну дверь открытой :)) Если всё нормально, то команда: getent passwd выдаст в добавок к системным логинам ещё и логины в AD для которых имеются записи SFU. Вот вроде всё что я пока сделал. Далее идут грабли, но не страшные: Не получается поднять модуль pam_ldap для какой-нибудь из служб, например sshd. Я попробовал добавить в эту цепочку sufficient pam_ldap.so, но при попытке коннекта по ssh меня учтиво посылают, а в логах наблюдаю sshd: .... "Unknown user" ... pam_tcb: .... "UNKNOWN USER"... Как видно дело до pam_ldap не доходит :(( - Нужен тот кто писал настройки модулей PAM, т к в альте успешно используется TCB, то тут возникает куча нюансов, поэтому как бы так аккуратно добавить модуль pam_ldap совместно с остальными, чтобы ничего не нарушить. С уважением, Антон -- ООО "ИСК "Клевер"