LINUX.ORG.RU
ФорумAdmin

Возможности после включения Linux машины в домен AD

 ,


1

2

Добрый вечер. В силу определенных причин нужен ответ на вопрос озвученный в заглавии темы. Перечитал много материалов по теме, но все очень разрознено и неоднозначно. У пользователей с AD, которым будут розданы права, будут возможности пользователя root. ОК. Возможно включение локальной аутентификации, при недоступности домена. ОК. В общем хотелось бы узнать, какие будут доступны вещи после включения Linux машины в домен AD, на пальцах, чем подробнее, тем лучше. Особенно интересует, что можно будет делать на данной машине в интерфейсе AD. Создание, удаление учеток не в счет. Что с установкой ПО. Я так понимаю, что ставить все равно придется локально на Linux машине.

Буду очень благодарен за ответы.


ничего кроме аутефикации пользователя, причем не факт что на шаре он сможет правильно работать с файлами и папками, т.е при работе создавать удалять и редактировать и еще не портить права. Ни о каких развертываниях, груповых политеках и тп речи вообще не может быть.

Silerus ★★★★
()

Стоит настроить для возможности обновлять имя в днс секурно, если адрес не статичный. Для этого самба не обязательна, хватит сссд

anonymous
()
Ответ на: комментарий от futurama

Тогда дополнительный вопрос. SSH как-то связан с включением машины в домен? Или если использовать скажем PuTTY с винды, то можно коннектиться к линукс машине вне зависимости от того, в домене она или нет?

IG-IG
() автор топика
Ответ на: комментарий от Silerus

Спасибо. Тогда можно еще ваше мнение по поводу моего комментарии о SSH?

IG-IG
() автор топика
Ответ на: комментарий от anonymous

Спасибо. Хотелось бы еще и ваше мнение по поводу моего комментарии о SSH выше.

IG-IG
() автор топика

И еще вопрос. ACL списки для настройки прав доступа, если я правильно понял, подходят только для разграничения доступа между линукс пользователями? А чтобы указать права доступа для пользователей из AD, нужно настраивать PAM?

IG-IG
() автор топика
Ответ на: комментарий от IG-IG

по умолчанию нет, можно ли сделать аутификацию через АД не знаю. Про пути - да можно.

Silerus ★★★★
()
Ответ на: комментарий от IG-IG

ПАМ это вообще не в ту степь

Механизм PAM объединяет множество низкоуровневых схем аутентификации в API высокого уровня, позволяющий создавать приложения, использующие аутентификацию независимо от применяемой схемы аутентификации.

Silerus ★★★★
()
Ответ на: комментарий от Silerus

На счет «ПАМ не в ту степь» странно. Прочитал, что права для подключения пользователей из AD как раз задаются в настройках файла /etc/security/pam_winbind.conf, где в качестве параметра require_membership_of указывается SID группы пользователей с AD, которой разрешается доступ. Т.е. написано, что по умолчанию все пользователи с AD будут иметь доступ на машину, и чтобы ограничить для группы надо указать данный параметр.

IG-IG
() автор топика
Ответ на: комментарий от IG-IG

Это для логина и других вещей, а для прав в ФС достаточно, чтобы через NSS получались правильные id пользователей и групп, хоть через winbind, хоть ldap. Файловый ACL просто работает, а для PAM, SSHd и т.п. лучше организовать управление конфигурациями.

anonymous
()
Ответ на: комментарий от anonymous

Честно сказать не очень понятно, особенно про winbind и ldap. Из инета: Winbind - это демон («служба» в терминах Windows), работающий на клиентах Samba и действующий как прокси для связи между PAM и NSS, работающими на компьютере Linux, с одной стороны, и Active Directory, работающей на контроллере домена, с другой.

По сути winbind дает возможность получать (брать) данные об учетных записях из AD по ldap.

Я бы и сам все это проверил простым экспериментальным методом и понял, но такой возможности нет, а теоретическое понимание нужно сейчас.

И еще вопрос: можно подключить по RDP с windows к linux используя для этого штатное ПО винды?

IG-IG
() автор топика
Ответ на: комментарий от IG-IG

Пам - это апи для аутентификации, которая с помощь неких шаблон позволяет прозрачно производить аутификацию различных служб, керберос лдап виндбинд и прочего. Остальное в его обязанности не входит, он даже не сам проводит аутентификацию - это слой абстракции. Вот правильно настроенный клиент cif (это samba) позволит вам цепляться к виндовым шарам и при правильной настройки не ламать виндовые акл при работе с файлами.

Silerus ★★★★
()
Ответ на: комментарий от IG-IG

Лучше все-таки сделай себе пару виртуалок и попробуй. Или попроси, может кто-то доступ даст. Быстрее разберешься, даже если не успеешь к рабочему виду привести.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.