* [sisyphus] krb5 и AD
@ 2024-10-30 6:48 Alexei Takaseev
2024-11-06 12:45 ` Evgeny Sinelnikov
0 siblings, 1 reply; 2+ messages in thread
From: Alexei Takaseev @ 2024-10-30 6:48 UTC (permalink / raw)
To: sisyphus
Приветствую!
Может кто подсказать, имеющийся в Сизифе, p10, p11 библиотеки и утилиты
кербероса от MIT совместимы с сервером кербероса в WinAD и SambaDC как
клиент?
В одном продукте для взаимодействия с AD применяются библиотеки от
Heimdal, но хочется не тянуть эту зависимость и разрешить все уже
имеющимся софтом.
^ permalink raw reply [flat|nested] 2+ messages in thread
* Re: [sisyphus] krb5 и AD
2024-10-30 6:48 [sisyphus] krb5 и AD Alexei Takaseev
@ 2024-11-06 12:45 ` Evgeny Sinelnikov
0 siblings, 0 replies; 2+ messages in thread
From: Evgeny Sinelnikov @ 2024-11-06 12:45 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Cc: Абрамов
Антон,
Владимир
Черный,
Valery Sinelnikov, volchenkoin, Ivan Melnikov
Добрый день,
ср, 30 окт. 2024 г. в 10:48, Alexei Takaseev <alexei@taf.ru>:
>
> Приветствую!
>
> Может кто подсказать, имеющийся в Сизифе, p10, p11 библиотеки и утилиты
> кербероса от MIT совместимы с сервером кербероса в WinAD и SambaDC как
> клиент?
>
> В одном продукте для взаимодействия с AD применяются библиотеки от
> Heimdal, но хочется не тянуть эту зависимость и разрешить все уже
> имеющимся софтом.
Во всех бранчах на клиентах у нас используется исключительно MIT Kerberos.
Единственная "точка", где появляется Heimdal Kerberos - это пакет samba-dc.
В альтернативу этому пакету существует пакет samba-dc-mitkrb5.
Схема сборки для этого организована достаточно нетривиально:
1) Heimdal сборка полностью переложена в каталог /usr/lib64/samba-dc,
при этом MIT Kerberos сборка расположена в стандартных путях
/usr/lib64, а приватная часть - в /usr/lib64/samba.
2) Серверная часть утилит, включая samba-tool, надстройку
samba-tool-plus для старого альтератора и дополнительные модули для
libldb, включаются через альтернативы только при установке пакета
samba-dc:
# cat /etc/alternatives/packages.d/samba-heimdal
/usr/sbin/samba /usr/lib64/samba-dc/sbin/samba 50
/usr/sbin/samba_kcc /usr/lib64/samba-dc/sbin/samba_kcc 50
/usr/sbin/samba_dnsupdate
/usr/lib64/samba-dc/sbin/samba_dnsupdate 50
/usr/sbin/samba_spnupdate
/usr/lib64/samba-dc/sbin/samba_spnupdate 50
/usr/sbin/samba_upgradedns
/usr/lib64/samba-dc/sbin/samba_upgradedns 50
/usr/sbin/eventlogadm /usr/lib64/samba-dc/sbin/eventlogadm 50
/usr/sbin/nmbd /usr/lib64/samba-dc/sbin/nmbd 50
/usr/sbin/smbd /usr/lib64/samba-dc/sbin/smbd 50
/usr/sbin/winbindd /usr/lib64/samba-dc/sbin/winbindd 50
/usr/bin/wbinfo /usr/lib64/samba-dc/bin/wbinfo 50
/usr/bin/ntlm_auth /usr/lib64/samba-dc/bin/ntlm_auth 50
/usr/bin/pdbedit /usr/lib64/samba-dc/bin/pdbedit 50
/usr/lib64/samba/ldb /usr/lib64/samba-dc/ldb 50
/usr/bin/samba-tool-plus /usr/lib64/samba-dc/bin/samba-tool-plus 50
/usr/bin/samba-tool /usr/lib64/samba-dc/bin/samba-tool 50
/usr/sbin/samba_downgrade_db
/usr/lib64/samba-dc/sbin/samba_downgrade_db 50
3) Клиентские приложения собираются, линкуются и запускаются только
через MIT Kerberos библиотеки. При этом коллизии возможны только для
пакета samba-dc, который может "залезть" не в свою "песочницу", но это
контролируется на стадии тестирования.
Совместимость с MS и Samba AD, безусловно, у нашей сборки MIT Kerberos
клиентов имеется, поскольку исключительно только такие клиенты у нас и
запускаются. Даже sssd, если его запускать на том же узле, где
установлен пакет samba-dc.
PS: Наверное, это обсуждение стоит перенести сюда:
https://lists.altlinux.org/mailman/listinfo/samba
--
Sin (Sinelnikov Evgeny)
^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2024-11-06 12:45 UTC | newest]
Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2024-10-30 6:48 [sisyphus] krb5 и AD Alexei Takaseev
2024-11-06 12:45 ` Evgeny Sinelnikov
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git