* [Comm] AD LDAP под юниксовые нужды
@ 2005-02-01 9:38 Anthony
2005-02-01 9:43 ` [Comm] " Michael Shigorin
0 siblings, 1 reply; 15+ messages in thread
From: Anthony @ 2005-02-01 9:38 UTC (permalink / raw)
To: community
Доброго всем дня.
Есть у меня одна интересная идея.
Собственно вот окуда у неё растут ноги:
журнал "Системный администратор" №12 от декабря 2004 - Единая учётная запись
для Windows и UNIX в Active Directory. - Игорь Полянский.
В настоящее время достаточно подробно описан способ как можно авторизоваться
на юниксе при помощи samba-winbind
В приведенном источнике описывается альтернативный способ (на мой взгляд
идеологически более правильный) как реализовать почти тоже самое но без
промежуточного звена - samba, а при помощи модуля аутентификации pam_ldap.
В MS AD добавляется схема под юниксовые аккаунты, где хранятся пароль, uid,
gid, shell и т. п. Как утверждает автор, добавить такую схему проще всего
установив на машину с AD SFU (Service For Unix), в результате появляются
соответствующие записи во вкладке юзера. В LDAP браузере их можно без труда
лицезреть:
msSFU30Name: admin2
msSFU30UidNumber: 10002
msSFU30GidNumber: 10000
msSFU30LoginShell: /bin/bash
msSFU30Password: ABCD!efgh12345$67890
msSFU30NisDomain: clevers
msSFU30HomeDirectory: /home/admin2
После чего настраиваются модули pam и nsswitch. Вот после чего у нас
появляется возможность использовать непосредственно AD для различного рода
авторизаций и т п
Где и кому это нужно каждый сам решит, вот у меня есть желание для некоторых
юзеров локалки автоматом предоставлять доступ к почтовому ящику и управлять
доступом в инет - если всё это будет рулиться централизовано - забот
поубавится и в голове место освободится ))
Ну что? Единомышленники есть?
Кому интересно будем дружить ))
На данный момент вкрячил в AD SFU3.5 (http://www.microsoft.com/windows/sfu)
В линукс имплантировал pam_ldap, nsswitch - всё правим по ситуации,
настраиваеи соединение ldap.conf, где указываем чё и где nss будет мапить.
В доках к pam_ldap уже есть готовый system-auth, им можно смело заменить то
что у вас лежит в /etc/pam.d/ , а дальше... дальше будем посмотреть
!!! Минздрав предупреждает !!! - игры с pam чреваты серьёзными последствиями
для вашего компьютера!
(Может получиться так что собака не признает своего хозяина и не пустит в дом
поэтму рекомендуется держать ещё одну дверь открытой :))
Если всё нормально, то команда:
getent passwd
выдаст в добавок к системным логинам ещё и логины в AD для которых имеются
записи SFU.
Вот вроде всё что я пока сделал. Далее идут грабли, но не страшные:
Не получается поднять модуль pam_ldap для какой-нибудь из служб, например
sshd. Я попробовал добавить в эту цепочку sufficient pam_ldap.so, но при
попытке коннекта по ssh меня учтиво посылают, а в логах наблюдаю
sshd: .... "Unknown user" ...
pam_tcb: .... "UNKNOWN USER"...
Как видно дело до pam_ldap не доходит :((
- Нужен тот кто писал настройки модулей PAM, т к в альте успешно используется
TCB, то тут возникает куча нюансов, поэтому как бы так аккуратно добавить
модуль pam_ldap совместно с остальными, чтобы ничего не нарушить.
С уважением, Антон
--
ООО "ИСК "Клевер"
^ permalink raw reply [flat|nested] 15+ messages in thread
* [Comm] Re: AD LDAP под юниксовые нужды
2005-02-01 9:38 [Comm] AD LDAP под юниксовые нужды Anthony
@ 2005-02-01 9:43 ` Michael Shigorin
2005-02-01 10:27 ` Anthony
0 siblings, 1 reply; 15+ messages in thread
From: Michael Shigorin @ 2005-02-01 9:43 UTC (permalink / raw)
To: community
On Tue, Feb 01, 2005 at 12:38:27PM +0300, Anthony wrote:
> Ну что? Единомышленники есть?
В samba@, видимо:
https://lists.altlinux.ru/mailman/listinfo/samba
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Re: AD LDAP под юниксовые нужды
2005-02-01 9:43 ` [Comm] " Michael Shigorin
@ 2005-02-01 10:27 ` Anthony
2005-02-01 10:44 ` Michael Shigorin
0 siblings, 1 reply; 15+ messages in thread
From: Anthony @ 2005-02-01 10:27 UTC (permalink / raw)
To: community
> В samba@, видимо:
> https://lists.altlinux.ru/mailman/listinfo/samba
Я Вас понял Михаил, только почему только "samba"?..
С уважением, Антон
--
ООО "ИСК "Клевер"
^ permalink raw reply [flat|nested] 15+ messages in thread
* [Comm] Re: AD LDAP под юниксовые нужды
2005-02-01 10:27 ` Anthony
@ 2005-02-01 10:44 ` Michael Shigorin
2005-02-01 11:25 ` Nick S. Grechukh
2005-02-01 11:49 ` Anthony
0 siblings, 2 replies; 15+ messages in thread
From: Michael Shigorin @ 2005-02-01 10:44 UTC (permalink / raw)
To: community
On Tue, Feb 01, 2005 at 01:27:34PM +0300, Anthony wrote:
> > В samba@, видимо:
> > https://lists.altlinux.ru/mailman/listinfo/samba
> Я Вас понял Михаил, только почему только "samba"?..
Потому что AD. :)
Строго говоря -- потому, что круг заинтересованных и при этом
having skills in these technologies скорее всего собрался там.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Re: AD LDAP под юниксовые нужды
2005-02-01 10:44 ` Michael Shigorin
@ 2005-02-01 11:25 ` Nick S. Grechukh
2005-02-01 11:49 ` Anthony
1 sibling, 0 replies; 15+ messages in thread
From: Nick S. Grechukh @ 2005-02-01 11:25 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 464 bytes --]
On Tuesday 01 February 2005 12:44, Michael Shigorin wrote:
> On Tue, Feb 01, 2005 at 01:27:34PM +0300, Anthony wrote:
> > > В samba@, видимо:
> > > https://lists.altlinux.ru/mailman/listinfo/samba
> > Я Вас понял Михаил, только почему только "samba"?..
> Потому что AD. :)
а все же самба - это не столько AD, сколько smb.
ldap@ ?
> Строго говоря -- потому, что круг заинтересованных и при этом
> having skills in these technologies скорее всего собрался там.
м.б.
[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Re: AD LDAP под юниксовые нужды
2005-02-01 10:44 ` Michael Shigorin
2005-02-01 11:25 ` Nick S. Grechukh
@ 2005-02-01 11:49 ` Anthony
2005-02-01 12:05 ` [Comm] [JT] " Michael Shigorin
2005-02-01 13:50 ` [Comm] " Alexander Bokovoy
1 sibling, 2 replies; 15+ messages in thread
From: Anthony @ 2005-02-01 11:49 UTC (permalink / raw)
To: community
On Tue, 1 Feb 2005 12:44:35 +0200, Michael Shigorin wrote
> On Tue, Feb 01, 2005 at 01:27:34PM +0300, Anthony wrote:
> > > В samba@, видимо:
> > > https://lists.altlinux.ru/mailman/listinfo/samba
> > Я Вас понял Михаил, только почему только "samba"?..
>
> Потому что AD. :)
Active Directory эт ж LDAP!
> Строго говоря -- потому, что круг заинтересованных и при этом
> having skills in these technologies скорее всего собрался там.
Да вероятно, но у меня как раз к ним вопросов нет :)
С уважением, Антон
--
ООО "ИСК "Клевер"
^ permalink raw reply [flat|nested] 15+ messages in thread
* [Comm] [JT] Re: AD LDAP под юниксовые нужды
2005-02-01 11:49 ` Anthony
@ 2005-02-01 12:05 ` Michael Shigorin
2005-02-01 13:50 ` [Comm] " Alexander Bokovoy
1 sibling, 0 replies; 15+ messages in thread
From: Michael Shigorin @ 2005-02-01 12:05 UTC (permalink / raw)
To: community
On Tue, Feb 01, 2005 at 02:49:03PM +0300, Anthony wrote:
> > > > В samba@, видимо:
> > > > https://lists.altlinux.ru/mailman/listinfo/samba
> > > Я Вас понял Михаил, только почему только "samba"?..
> > Потому что AD. :)
> Active Directory эт ж LDAP!
Ну значит спишем на сложные утренние ассоциативные цепочки. :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Re: AD LDAP под юниксовые нужды
2005-02-01 11:49 ` Anthony
2005-02-01 12:05 ` [Comm] [JT] " Michael Shigorin
@ 2005-02-01 13:50 ` Alexander Bokovoy
2005-02-02 6:49 ` Anthony
1 sibling, 1 reply; 15+ messages in thread
From: Alexander Bokovoy @ 2005-02-01 13:50 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 849 bytes --]
On Tue, Feb 01, 2005 at 02:49:03PM +0300, Anthony wrote:
> On Tue, 1 Feb 2005 12:44:35 +0200, Michael Shigorin wrote
> > On Tue, Feb 01, 2005 at 01:27:34PM +0300, Anthony wrote:
> > > > В samba@, видимо:
> > > > https://lists.altlinux.ru/mailman/listinfo/samba
> > > Я Вас понял Михаил, только почему только "samba"?..
> >
> > Потому что AD. :)
> Active Directory эт ж LDAP!
Строго говоря, Вы не правы. Потому что это LDAP+KRB5+DNS+DHCP+MSRPC+CLDAP
и еще ряд недокументированных вещей.
P.S. А Samba4 уже научилась представляться для WinXP контроллером ADS и
даже позволять WinXP к себе присоединяться, правда, пока без kerberos.
--
/ Alexander Bokovoy
Samba Team http://www.samba.org/
ALT Linux Team http://www.altlinux.org/
Midgard Project Ry http://www.midgard-project.org/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Re: AD LDAP под юниксовые нужды
2005-02-01 13:50 ` [Comm] " Alexander Bokovoy
@ 2005-02-02 6:49 ` Anthony
2005-02-02 8:40 ` Alexander Bokovoy
0 siblings, 1 reply; 15+ messages in thread
From: Anthony @ 2005-02-02 6:49 UTC (permalink / raw)
To: community
> > Active Directory эт ж LDAP!
> Строго говоря, Вы не правы. Потому что это LDAP+KRB5+DNS+DHCP+MSRPC+CLDAP
> и еще ряд недокументированных вещей.
Ну а если не строго и криво, то MS AD ставится и без DNS и DHCP, и появится у
вас сервис на 389 порту и т. д.
> P.S. А Samba4 уже научилась представляться для WinXP контроллером
> ADS и даже позволять WinXP к себе присоединяться, правда, пока без kerberos.
Вот когда... тогда и сразу! :)
С уважением, Антон
--
ООО "ИСК "Клевер"
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Re: AD LDAP под юниксовые нужды
2005-02-02 6:49 ` Anthony
@ 2005-02-02 8:40 ` Alexander Bokovoy
2005-02-02 11:46 ` Nick S. Grechukh
0 siblings, 1 reply; 15+ messages in thread
From: Alexander Bokovoy @ 2005-02-02 8:40 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 784 bytes --]
On Wed, Feb 02, 2005 at 09:49:51AM +0300, Anthony wrote:
> > > Active Directory эт ж LDAP!
> > Строго говоря, Вы не правы. Потому что это LDAP+KRB5+DNS+DHCP+MSRPC+CLDAP
> > и еще ряд недокументированных вещей.
> Ну а если не строго и криво, то MS AD ставится и без DNS и DHCP, и появится у
> вас сервис на 389 порту и т. д.
Без DNS оно просто не работает, если Вы не знаете.
> > P.S. А Samba4 уже научилась представляться для WinXP контроллером
> > ADS и даже позволять WinXP к себе присоединяться, правда, пока без kerberos.
> Вот когда... тогда и сразу! :)
:-)
--
/ Alexander Bokovoy
Samba Team http://www.samba.org/
ALT Linux Team http://www.altlinux.org/
Midgard Project Ry http://www.midgard-project.org/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Re: AD LDAP под юниксовые нужды
2005-02-02 8:40 ` Alexander Bokovoy
@ 2005-02-02 11:46 ` Nick S. Grechukh
2005-02-02 11:53 ` Alexander Bokovoy
0 siblings, 1 reply; 15+ messages in thread
From: Nick S. Grechukh @ 2005-02-02 11:46 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 604 bytes --]
On Wednesday 02 February 2005 10:40, Alexander Bokovoy wrote:
> On Wed, Feb 02, 2005 at 09:49:51AM +0300, Anthony wrote:
> > > > Active Directory эт ж LDAP!
> > > Строго говоря, Вы не правы. Потому что это
> > > LDAP+KRB5+DNS+DHCP+MSRPC+CLDAP и еще ряд недокументированных вещей.
> > Ну а если не строго и криво, то MS AD ставится и без DNS и DHCP, и
> > появится у вас сервис на 389 порту и т. д.
> Без DNS оно просто не работает, если Вы не знаете.
что, правда? а в mixed mode?
win2k server, машины в домене - win98/winxp, dns - линуксовая машина. все
работает.
вот в native mode, там да, все по dns.
[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Re: AD LDAP под юниксовые нужды
2005-02-02 11:46 ` Nick S. Grechukh
@ 2005-02-02 11:53 ` Alexander Bokovoy
2005-02-02 16:28 ` Nick S. Grechukh
2005-02-02 19:53 ` Anthony
0 siblings, 2 replies; 15+ messages in thread
From: Alexander Bokovoy @ 2005-02-02 11:53 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1353 bytes --]
On Wed, Feb 02, 2005 at 01:46:54PM +0200, Nick S. Grechukh wrote:
> On Wednesday 02 February 2005 10:40, Alexander Bokovoy wrote:
> > On Wed, Feb 02, 2005 at 09:49:51AM +0300, Anthony wrote:
> > > > > Active Directory эт ж LDAP!
> > > > Строго говоря, Вы не правы. Потому что это
> > > > LDAP+KRB5+DNS+DHCP+MSRPC+CLDAP и еще ряд недокументированных вещей.
> > > Ну а если не строго и криво, то MS AD ставится и без DNS и DHCP, и
> > > появится у вас сервис на 389 порту и т. д.
> > Без DNS оно просто не работает, если Вы не знаете.
> что, правда? а в mixed mode?
> win2k server, машины в домене - win98/winxp, dns - линуксовая машина. все
> работает.
> вот в native mode, там да, все по dns.
Речь о Native mode. Все остальные режимы -- это способ утилизации "старья"
в режиме совместимости. Хочу отметить, что в таких режимах недоступны
некоторые важные функциональные компоненты ADS, за счет которых MS этот
технологический комплекс и проталкивает своим потенциальным клиентам.
То есть, говорить о ADS в этом случае просто бессмысленно, функционально
это не будет отличаться от уже упоминавшегося решения на основе OpenLDAP.
--
/ Alexander Bokovoy
Samba Team http://www.samba.org/
ALT Linux Team http://www.altlinux.org/
Midgard Project Ry http://www.midgard-project.org/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Re: AD LDAP под юниксовые нужды
2005-02-02 11:53 ` Alexander Bokovoy
@ 2005-02-02 16:28 ` Nick S. Grechukh
2005-02-02 19:53 ` Anthony
1 sibling, 0 replies; 15+ messages in thread
From: Nick S. Grechukh @ 2005-02-02 16:28 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1474 bytes --]
On Wednesday 02 February 2005 13:53, Alexander Bokovoy wrote:
> On Wed, Feb 02, 2005 at 01:46:54PM +0200, Nick S. Grechukh wrote:
> > On Wednesday 02 February 2005 10:40, Alexander Bokovoy wrote:
> > > On Wed, Feb 02, 2005 at 09:49:51AM +0300, Anthony wrote:
> > > > > > Active Directory эт ж LDAP!
> > > > >
> > > > > Строго говоря, Вы не правы. Потому что это
> > > > > LDAP+KRB5+DNS+DHCP+MSRPC+CLDAP и еще ряд недокументированных вещей.
> > > Ну а если не строго и криво, то MS AD ставится и без DNS и DHCP, и
> > > > появится у вас сервис на 389 порту и т. д.
> > > Без DNS оно просто не работает, если Вы не знаете.
видимо, DNS все же можно держать отдельно и даже на BIND.
> > что, правда? а в mixed mode?
> > win2k server, машины в домене - win98/winxp, dns - линуксовая машина. все
> > работает.
> > вот в native mode, там да, все по dns.
> Речь о Native mode. Все остальные режимы -- это способ утилизации "старья"
> в режиме совместимости. Хочу отметить, что в таких режимах недоступны
куда девать старье?
> некоторые важные функциональные компоненты ADS, за счет которых MS этот
> технологический комплекс и проталкивает своим потенциальным клиентам.
имхо в подавляющем большинстве случаев микроскопом от МС забивают гвозди в
виде "авторизации в сети" (всего лишь!)
> То есть, говорить о ADS в этом случае просто бессмысленно, функционально
> это не будет отличаться от уже упоминавшегося решения на основе OpenLDAP.
правильно. AD как таковой и не нужен массе.
[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Re: AD LDAP под юниксовые нужды
2005-02-02 11:53 ` Alexander Bokovoy
2005-02-02 16:28 ` Nick S. Grechukh
@ 2005-02-02 19:53 ` Anthony
2005-02-02 12:21 ` Alexander Bokovoy
1 sibling, 1 reply; 15+ messages in thread
From: Anthony @ 2005-02-02 19:53 UTC (permalink / raw)
To: community
Господа вопрос такой, чё там надо настроить в PAM, чтобы заработала pam_ldap
У меня это дело вообще не работает, какбы даже и не обращается к нему.
(маны в Инете читал, не помогло)
nss у меня нормально подцепляется к AD как к службе каталогов, так что все
остальные функции службы доменов в виндовом понимании вопроса меня мало
интересуют, - речь вообще не об этом, в данном вопросе можно справедливо
поставить AD=OpenLDAP
getent passwd
getent sahdow
всё вытягивают, но вот что касается самого pam_ldap то тут совсем туго.
Тренируюсь пока на sshd, но чёт не пущает, юзера невидит, отдаёт не тому -
pam_tcb....
С уважением, Антон
--
ООО "ИСК "Клевер"
^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [Comm] Re: AD LDAP под юниксовые нужды
2005-02-02 19:53 ` Anthony
@ 2005-02-02 12:21 ` Alexander Bokovoy
0 siblings, 0 replies; 15+ messages in thread
From: Alexander Bokovoy @ 2005-02-02 12:21 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1132 bytes --]
On Wed, Feb 02, 2005 at 10:53:52PM +0300, Anthony wrote:
> Господа вопрос такой, чё там надо настроить в PAM, чтобы заработала pam_ldap
> У меня это дело вообще не работает, какбы даже и не обращается к нему.
> (маны в Инете читал, не помогло)
>
> nss у меня нормально подцепляется к AD как к службе каталогов, так что все
> остальные функции службы доменов в виндовом понимании вопроса меня мало
> интересуют, - речь вообще не об этом, в данном вопросе можно справедливо
> поставить AD=OpenLDAP
>
> getent passwd
> getent sahdow
>
> всё вытягивают, но вот что касается самого pam_ldap то тут совсем туго.
> Тренируюсь пока на sshd, но чёт не пущает, юзера невидит, отдаёт не тому -
> pam_tcb....
Просто тренируетесь не на том. SSHD обрубает все вторичные группы
пользователя при проверке авторизации, так что доступ к соответствующим
конфигурационным файлам ограничен.
Это известная проблема sshd/PAM.
--
/ Alexander Bokovoy
Samba Team http://www.samba.org/
ALT Linux Team http://www.altlinux.org/
Midgard Project Ry http://www.midgard-project.org/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 15+ messages in thread
end of thread, other threads:[~2005-02-02 19:53 UTC | newest]
Thread overview: 15+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-02-01 9:38 [Comm] AD LDAP под юниксовые нужды Anthony
2005-02-01 9:43 ` [Comm] " Michael Shigorin
2005-02-01 10:27 ` Anthony
2005-02-01 10:44 ` Michael Shigorin
2005-02-01 11:25 ` Nick S. Grechukh
2005-02-01 11:49 ` Anthony
2005-02-01 12:05 ` [Comm] [JT] " Michael Shigorin
2005-02-01 13:50 ` [Comm] " Alexander Bokovoy
2005-02-02 6:49 ` Anthony
2005-02-02 8:40 ` Alexander Bokovoy
2005-02-02 11:46 ` Nick S. Grechukh
2005-02-02 11:53 ` Alexander Bokovoy
2005-02-02 16:28 ` Nick S. Grechukh
2005-02-02 19:53 ` Anthony
2005-02-02 12:21 ` Alexander Bokovoy
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git