ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] AD LDAP под юниксовые нужды
@ 2005-02-01  9:38 Anthony
  2005-02-01  9:43 ` [Comm] " Michael Shigorin
  0 siblings, 1 reply; 15+ messages in thread
From: Anthony @ 2005-02-01  9:38 UTC (permalink / raw)
  To: community

Доброго всем дня.

Есть у меня одна интересная идея.
Собственно вот окуда у неё растут ноги:
журнал "Системный администратор" №12 от декабря 2004 - Единая учётная запись
для Windows и UNIX в Active Directory. - Игорь Полянский.

В настоящее время достаточно подробно описан способ как можно авторизоваться
на юниксе при помощи samba-winbind

В приведенном источнике описывается альтернативный способ (на мой взгляд
идеологически более правильный) как реализовать почти тоже самое но без
промежуточного звена - samba, а при помощи модуля аутентификации pam_ldap.

В MS AD добавляется схема под юниксовые аккаунты, где хранятся пароль, uid,
gid, shell и т. п. Как утверждает автор, добавить такую схему проще всего
установив на машину с AD SFU (Service For Unix), в результате появляются
соответствующие записи во вкладке юзера. В LDAP браузере их можно без труда
лицезреть:
msSFU30Name: admin2
msSFU30UidNumber: 10002
msSFU30GidNumber: 10000
msSFU30LoginShell: /bin/bash
msSFU30Password: ABCD!efgh12345$67890
msSFU30NisDomain: clevers
msSFU30HomeDirectory: /home/admin2
После чего настраиваются модули pam и nsswitch. Вот после чего у нас
появляется возможность использовать непосредственно AD для различного рода
авторизаций и т п
Где и кому это нужно каждый сам решит, вот у меня есть желание для некоторых
юзеров локалки автоматом предоставлять доступ к почтовому ящику и управлять
доступом в инет - если всё это будет рулиться централизовано - забот
поубавится и в голове место освободится ))

Ну что? Единомышленники есть?
Кому интересно будем дружить ))

На данный момент вкрячил в AD SFU3.5 (http://www.microsoft.com/windows/sfu)
В линукс имплантировал pam_ldap, nsswitch - всё правим по ситуации,
настраиваеи соединение ldap.conf, где указываем чё и где nss будет мапить.
В доках к pam_ldap уже есть готовый system-auth, им можно смело заменить то
что у вас лежит в /etc/pam.d/ , а дальше... дальше будем посмотреть
!!! Минздрав предупреждает !!! - игры с pam чреваты серьёзными последствиями
для вашего компьютера!
(Может получиться так что собака не признает своего хозяина и не пустит в дом
поэтму рекомендуется держать ещё одну дверь открытой :))
Если всё нормально, то команда:
getent passwd
выдаст в добавок к системным логинам ещё и логины в AD для которых имеются
записи SFU.
Вот вроде всё что я пока сделал. Далее идут грабли, но не страшные:
Не получается поднять модуль pam_ldap для какой-нибудь из служб, например
sshd. Я попробовал добавить в эту цепочку sufficient pam_ldap.so, но при
попытке коннекта по ssh меня учтиво посылают, а в логах наблюдаю
sshd: .... "Unknown user" ...
pam_tcb: .... "UNKNOWN USER"...
Как видно дело до pam_ldap не доходит :((
- Нужен тот кто писал настройки модулей PAM, т к в альте успешно используется
  TCB, то тут возникает куча нюансов, поэтому как бы так аккуратно добавить
модуль pam_ldap совместно с остальными, чтобы ничего не нарушить.
 
С уважением, Антон 
-- 
ООО "ИСК "Клевер"




^ permalink raw reply	[flat|nested] 15+ messages in thread

* [Comm] Re: AD LDAP под юниксовые нужды
  2005-02-01  9:38 [Comm] AD LDAP под юниксовые нужды Anthony
@ 2005-02-01  9:43 ` Michael Shigorin
  2005-02-01 10:27   ` Anthony
  0 siblings, 1 reply; 15+ messages in thread
From: Michael Shigorin @ 2005-02-01  9:43 UTC (permalink / raw)
  To: community

On Tue, Feb 01, 2005 at 12:38:27PM +0300, Anthony wrote:
> Ну что? Единомышленники есть?

В samba@, видимо:
https://lists.altlinux.ru/mailman/listinfo/samba

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] Re: AD LDAP под юниксовые нужды
  2005-02-01  9:43 ` [Comm] " Michael Shigorin
@ 2005-02-01 10:27   ` Anthony
  2005-02-01 10:44     ` Michael Shigorin
  0 siblings, 1 reply; 15+ messages in thread
From: Anthony @ 2005-02-01 10:27 UTC (permalink / raw)
  To: community

> В samba@, видимо:
> https://lists.altlinux.ru/mailman/listinfo/samba

Я Вас понял Михаил, только почему только "samba"?..
 
С уважением, Антон 
-- 
ООО "ИСК "Клевер"




^ permalink raw reply	[flat|nested] 15+ messages in thread

* [Comm] Re: AD LDAP под юниксовые нужды
  2005-02-01 10:27   ` Anthony
@ 2005-02-01 10:44     ` Michael Shigorin
  2005-02-01 11:25       ` Nick S. Grechukh
  2005-02-01 11:49       ` Anthony
  0 siblings, 2 replies; 15+ messages in thread
From: Michael Shigorin @ 2005-02-01 10:44 UTC (permalink / raw)
  To: community

On Tue, Feb 01, 2005 at 01:27:34PM +0300, Anthony wrote:
> > В samba@, видимо:
> > https://lists.altlinux.ru/mailman/listinfo/samba
> Я Вас понял Михаил, только почему только "samba"?..

Потому что AD. :)

Строго говоря -- потому, что круг заинтересованных и при этом
having skills in these technologies скорее всего собрался там.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] Re: AD LDAP под юниксовые нужды
  2005-02-01 10:44     ` Michael Shigorin
@ 2005-02-01 11:25       ` Nick S. Grechukh
  2005-02-01 11:49       ` Anthony
  1 sibling, 0 replies; 15+ messages in thread
From: Nick S. Grechukh @ 2005-02-01 11:25 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 464 bytes --]

On Tuesday 01 February 2005 12:44, Michael Shigorin wrote:
> On Tue, Feb 01, 2005 at 01:27:34PM +0300, Anthony wrote:
> > > В samba@, видимо:
> > > https://lists.altlinux.ru/mailman/listinfo/samba
> > Я Вас понял Михаил, только почему только "samba"?..
> Потому что AD. :)
а все же самба - это не столько AD, сколько smb.
ldap@ ?
> Строго говоря -- потому, что круг заинтересованных и при этом
> having skills in these technologies скорее всего собрался там.
м.б.

[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]

^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] Re: AD LDAP под юниксовые нужды
  2005-02-01 10:44     ` Michael Shigorin
  2005-02-01 11:25       ` Nick S. Grechukh
@ 2005-02-01 11:49       ` Anthony
  2005-02-01 12:05         ` [Comm] [JT] " Michael Shigorin
  2005-02-01 13:50         ` [Comm] " Alexander Bokovoy
  1 sibling, 2 replies; 15+ messages in thread
From: Anthony @ 2005-02-01 11:49 UTC (permalink / raw)
  To: community

On Tue, 1 Feb 2005 12:44:35 +0200, Michael Shigorin wrote
> On Tue, Feb 01, 2005 at 01:27:34PM +0300, Anthony wrote:
> > > В samba@, видимо:
> > > https://lists.altlinux.ru/mailman/listinfo/samba
> > Я Вас понял Михаил, только почему только "samba"?..
> 
> Потому что AD. :)
Active Directory эт ж LDAP!

> Строго говоря -- потому, что круг заинтересованных и при этом
> having skills in these technologies скорее всего собрался там.
Да вероятно, но у меня как раз к ним вопросов нет :)
 

С уважением, Антон 
-- 
ООО "ИСК "Клевер"




^ permalink raw reply	[flat|nested] 15+ messages in thread

* [Comm] [JT] Re: AD LDAP под юниксовые нужды
  2005-02-01 11:49       ` Anthony
@ 2005-02-01 12:05         ` Michael Shigorin
  2005-02-01 13:50         ` [Comm] " Alexander Bokovoy
  1 sibling, 0 replies; 15+ messages in thread
From: Michael Shigorin @ 2005-02-01 12:05 UTC (permalink / raw)
  To: community

On Tue, Feb 01, 2005 at 02:49:03PM +0300, Anthony wrote:
> > > > В samba@, видимо:
> > > > https://lists.altlinux.ru/mailman/listinfo/samba
> > > Я Вас понял Михаил, только почему только "samba"?..
> > Потому что AD. :)
> Active Directory эт ж LDAP!

Ну значит спишем на сложные утренние ассоциативные цепочки. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] Re: AD LDAP под юниксовые нужды
  2005-02-01 11:49       ` Anthony
  2005-02-01 12:05         ` [Comm] [JT] " Michael Shigorin
@ 2005-02-01 13:50         ` Alexander Bokovoy
  2005-02-02  6:49           ` Anthony
  1 sibling, 1 reply; 15+ messages in thread
From: Alexander Bokovoy @ 2005-02-01 13:50 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 849 bytes --]

On Tue, Feb 01, 2005 at 02:49:03PM +0300, Anthony wrote:
> On Tue, 1 Feb 2005 12:44:35 +0200, Michael Shigorin wrote
> > On Tue, Feb 01, 2005 at 01:27:34PM +0300, Anthony wrote:
> > > > В samba@, видимо:
> > > > https://lists.altlinux.ru/mailman/listinfo/samba
> > > Я Вас понял Михаил, только почему только "samba"?..
> > 
> > Потому что AD. :)
> Active Directory эт ж LDAP!
Строго говоря, Вы не правы. Потому что это LDAP+KRB5+DNS+DHCP+MSRPC+CLDAP
и еще ряд недокументированных вещей.

P.S. А Samba4 уже научилась представляться для WinXP контроллером ADS и
даже позволять WinXP к себе присоединяться, правда, пока без kerberos.
-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] Re: AD LDAP под юниксовые нужды
  2005-02-01 13:50         ` [Comm] " Alexander Bokovoy
@ 2005-02-02  6:49           ` Anthony
  2005-02-02  8:40             ` Alexander Bokovoy
  0 siblings, 1 reply; 15+ messages in thread
From: Anthony @ 2005-02-02  6:49 UTC (permalink / raw)
  To: community

> > Active Directory эт ж LDAP!
> Строго говоря, Вы не правы. Потому что это LDAP+KRB5+DNS+DHCP+MSRPC+CLDAP
> и еще ряд недокументированных вещей.
Ну а если не строго и криво, то MS AD ставится и без DNS и DHCP, и появится у
вас сервис на 389 порту и т. д.
 
> P.S. А Samba4 уже научилась представляться для WinXP контроллером 
> ADS и даже позволять WinXP к себе присоединяться, правда, пока без kerberos.
Вот когда... тогда и сразу! :)

 
С уважением, Антон 
-- 
ООО "ИСК "Клевер"




^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] Re: AD LDAP под юниксовые нужды
  2005-02-02  6:49           ` Anthony
@ 2005-02-02  8:40             ` Alexander Bokovoy
  2005-02-02 11:46               ` Nick S. Grechukh
  0 siblings, 1 reply; 15+ messages in thread
From: Alexander Bokovoy @ 2005-02-02  8:40 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 784 bytes --]

On Wed, Feb 02, 2005 at 09:49:51AM +0300, Anthony wrote:
> > > Active Directory эт ж LDAP!
> > Строго говоря, Вы не правы. Потому что это LDAP+KRB5+DNS+DHCP+MSRPC+CLDAP
> > и еще ряд недокументированных вещей.
> Ну а если не строго и криво, то MS AD ставится и без DNS и DHCP, и появится у
> вас сервис на 389 порту и т. д.
Без DNS оно просто не работает, если Вы не знаете. 

> > P.S. А Samba4 уже научилась представляться для WinXP контроллером 
> > ADS и даже позволять WinXP к себе присоединяться, правда, пока без kerberos.
> Вот когда... тогда и сразу! :)
:-)

-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] Re: AD LDAP под юниксовые нужды
  2005-02-02  8:40             ` Alexander Bokovoy
@ 2005-02-02 11:46               ` Nick S. Grechukh
  2005-02-02 11:53                 ` Alexander Bokovoy
  0 siblings, 1 reply; 15+ messages in thread
From: Nick S. Grechukh @ 2005-02-02 11:46 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 604 bytes --]

On Wednesday 02 February 2005 10:40, Alexander Bokovoy wrote:
> On Wed, Feb 02, 2005 at 09:49:51AM +0300, Anthony wrote:
> > > > Active Directory эт ж LDAP!
> > > Строго говоря, Вы не правы. Потому что это
> > > LDAP+KRB5+DNS+DHCP+MSRPC+CLDAP и еще ряд недокументированных вещей.
> > Ну а если не строго и криво, то MS AD ставится и без DNS и DHCP, и
> > появится у вас сервис на 389 порту и т. д.
> Без DNS оно просто не работает, если Вы не знаете.
что, правда? а в mixed mode?
win2k server, машины в домене - win98/winxp, dns - линуксовая машина. все 
работает.
вот в native mode, там да, все по dns.

[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]

^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] Re: AD LDAP под юниксовые нужды
  2005-02-02 11:46               ` Nick S. Grechukh
@ 2005-02-02 11:53                 ` Alexander Bokovoy
  2005-02-02 16:28                   ` Nick S. Grechukh
  2005-02-02 19:53                   ` Anthony
  0 siblings, 2 replies; 15+ messages in thread
From: Alexander Bokovoy @ 2005-02-02 11:53 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1353 bytes --]

On Wed, Feb 02, 2005 at 01:46:54PM +0200, Nick S. Grechukh wrote:
> On Wednesday 02 February 2005 10:40, Alexander Bokovoy wrote:
> > On Wed, Feb 02, 2005 at 09:49:51AM +0300, Anthony wrote:
> > > > > Active Directory эт ж LDAP!
> > > > Строго говоря, Вы не правы. Потому что это
> > > > LDAP+KRB5+DNS+DHCP+MSRPC+CLDAP и еще ряд недокументированных вещей.
> > > Ну а если не строго и криво, то MS AD ставится и без DNS и DHCP, и
> > > появится у вас сервис на 389 порту и т. д.
> > Без DNS оно просто не работает, если Вы не знаете.
> что, правда? а в mixed mode?
> win2k server, машины в домене - win98/winxp, dns - линуксовая машина. все 
> работает.
> вот в native mode, там да, все по dns.
Речь о Native mode. Все остальные режимы -- это способ утилизации "старья"
в режиме совместимости. Хочу отметить, что в таких режимах недоступны
некоторые важные функциональные компоненты ADS, за счет которых MS этот
технологический комплекс и проталкивает своим потенциальным клиентам.

То есть, говорить о ADS в этом случае просто бессмысленно, функционально
это не будет отличаться от уже упоминавшегося решения на основе OpenLDAP.
-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] Re: AD LDAP под юниксовые нужды
  2005-02-02 19:53                   ` Anthony
@ 2005-02-02 12:21                     ` Alexander Bokovoy
  0 siblings, 0 replies; 15+ messages in thread
From: Alexander Bokovoy @ 2005-02-02 12:21 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1132 bytes --]

On Wed, Feb 02, 2005 at 10:53:52PM +0300, Anthony wrote:
> Господа вопрос такой, чё там надо настроить в PAM, чтобы заработала pam_ldap
> У меня это дело вообще не работает, какбы даже и не обращается к нему.
> (маны в Инете читал, не помогло)
> 
> nss у меня нормально подцепляется к AD как к службе каталогов, так что все
> остальные функции службы доменов в виндовом понимании вопроса меня мало
> интересуют, - речь вообще не об этом, в данном вопросе можно справедливо
> поставить AD=OpenLDAP
> 
> getent passwd
> getent sahdow
> 
> всё вытягивают, но вот что касается самого pam_ldap то тут совсем туго.
> Тренируюсь пока на sshd, но чёт не пущает, юзера невидит, отдаёт не тому -
> pam_tcb....
Просто тренируетесь не на том. SSHD обрубает все вторичные группы
пользователя при проверке авторизации, так что доступ к соответствующим
конфигурационным файлам ограничен.

Это известная проблема sshd/PAM.
-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] Re: AD LDAP под юниксовые нужды
  2005-02-02 11:53                 ` Alexander Bokovoy
@ 2005-02-02 16:28                   ` Nick S. Grechukh
  2005-02-02 19:53                   ` Anthony
  1 sibling, 0 replies; 15+ messages in thread
From: Nick S. Grechukh @ 2005-02-02 16:28 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1474 bytes --]

On Wednesday 02 February 2005 13:53, Alexander Bokovoy wrote:
> On Wed, Feb 02, 2005 at 01:46:54PM +0200, Nick S. Grechukh wrote:
> > On Wednesday 02 February 2005 10:40, Alexander Bokovoy wrote:
> > > On Wed, Feb 02, 2005 at 09:49:51AM +0300, Anthony wrote:
> > > > > > Active Directory эт ж LDAP!
> > > > >
> > > > > Строго говоря, Вы не правы. Потому что это
> > > > > LDAP+KRB5+DNS+DHCP+MSRPC+CLDAP и еще ряд недокументированных вещей.
> > > Ну а если не строго и криво, то MS AD ставится и без DNS и DHCP, и
> > > > появится у вас сервис на 389 порту и т. д.
> > > Без DNS оно просто не работает, если Вы не знаете.
видимо, DNS все же можно держать отдельно и даже на BIND.
> > что, правда? а в mixed mode?
> > win2k server, машины в домене - win98/winxp, dns - линуксовая машина. все
> > работает.
> > вот в native mode, там да, все по dns.
> Речь о Native mode. Все остальные режимы -- это способ утилизации "старья"
> в режиме совместимости. Хочу отметить, что в таких режимах недоступны
куда девать старье? 
> некоторые важные функциональные компоненты ADS, за счет которых MS этот
> технологический комплекс и проталкивает своим потенциальным клиентам.
имхо в подавляющем большинстве случаев микроскопом от МС забивают гвозди в 
виде "авторизации в сети" (всего лишь!)
> То есть, говорить о ADS в этом случае просто бессмысленно, функционально
> это не будет отличаться от уже упоминавшегося решения на основе OpenLDAP.
правильно. AD как таковой и не нужен массе.

[-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --]

^ permalink raw reply	[flat|nested] 15+ messages in thread

* Re: [Comm] Re: AD LDAP под юниксовые нужды
  2005-02-02 11:53                 ` Alexander Bokovoy
  2005-02-02 16:28                   ` Nick S. Grechukh
@ 2005-02-02 19:53                   ` Anthony
  2005-02-02 12:21                     ` Alexander Bokovoy
  1 sibling, 1 reply; 15+ messages in thread
From: Anthony @ 2005-02-02 19:53 UTC (permalink / raw)
  To: community

Господа вопрос такой, чё там надо настроить в PAM, чтобы заработала pam_ldap
У меня это дело вообще не работает, какбы даже и не обращается к нему.
(маны в Инете читал, не помогло)

nss у меня нормально подцепляется к AD как к службе каталогов, так что все
остальные функции службы доменов в виндовом понимании вопроса меня мало
интересуют, - речь вообще не об этом, в данном вопросе можно справедливо
поставить AD=OpenLDAP

getent passwd
getent sahdow

всё вытягивают, но вот что касается самого pam_ldap то тут совсем туго.
Тренируюсь пока на sshd, но чёт не пущает, юзера невидит, отдаёт не тому -
pam_tcb....

С уважением, Антон 
-- 
ООО "ИСК "Клевер"




^ permalink raw reply	[flat|nested] 15+ messages in thread

end of thread, other threads:[~2005-02-02 19:53 UTC | newest]

Thread overview: 15+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-02-01  9:38 [Comm] AD LDAP под юниксовые нужды Anthony
2005-02-01  9:43 ` [Comm] " Michael Shigorin
2005-02-01 10:27   ` Anthony
2005-02-01 10:44     ` Michael Shigorin
2005-02-01 11:25       ` Nick S. Grechukh
2005-02-01 11:49       ` Anthony
2005-02-01 12:05         ` [Comm] [JT] " Michael Shigorin
2005-02-01 13:50         ` [Comm] " Alexander Bokovoy
2005-02-02  6:49           ` Anthony
2005-02-02  8:40             ` Alexander Bokovoy
2005-02-02 11:46               ` Nick S. Grechukh
2005-02-02 11:53                 ` Alexander Bokovoy
2005-02-02 16:28                   ` Nick S. Grechukh
2005-02-02 19:53                   ` Anthony
2005-02-02 12:21                     ` Alexander Bokovoy

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git