Kerberos LDAP

0

0

Разбирая всякие примеры, howto, документацию, вроде бы понял, что подружить Samba PDC с Kerberos KDC у меня таки не получится (вроде как, это и называется Active Directory).

Вопрос вот в чём: имея ldap, работающий хранилищем у Samba PDC, можно ли использовать хранящиеся в нём аккаунты как kerberos-принципалы?
При устрановке KDC я создал для него отдельную ветку ou=KerberosPrincipals,dc=example,dc=org и kadmin автоматически её заполнил всякими, как я понял, служебными принципалами.

Таким образом я смогу настроить авторизацию на linux-машинах через pam_krb, а не через pam_ldap, и использовать Single Sign-On.
Ну а windows-клиентам придётся обломиться.

Ссылка

←	Как автометически менять мас сетевой карты в opeenSUSE?

trafshow -i ppp0

→

Samba PDC с Kerberos KDC у меня таки не получится (вроде как, это и называется Active Directory){br]

у меня для тебя плохие новости....
AD это не samba+ldap

guyvernk ★
(12.03.10 00:53:30 MSK)

Ответ на: комментарий от guyvernk 12.03.10 00:53:30 MSK

AD это не samba+ldap

это samba+ldap+kerberos, а если быть совсем точным - samba4+ldap+kerberos ;)

~~zgen~~ ★★★★★
(12.03.10 07:09:07 MSK)

Ответ на: комментарий от zgen 12.03.10 07:09:07 MSK

4.2
http://technet.microsoft.com/en-us/library/cc780036(WS.10).aspx
вот функционал AD 8-летней давности. даже до него не дотягивает

guyvernk ★
(12.03.10 08:02:58 MSK)

Ответ на: комментарий от guyvernk 12.03.10 08:02:58 MSK

>http://technet.microsoft.com/en-us/library/cc780036%28WS.10%29.aspx

-4.2. Почитал «Active Directory provides:», и нашёл, что из «не уверен, что в ldap+kerberos есть» там только «desktop tools to search Active Directory» (у нас они не на десктопе), «Integration of object names with Domain Name System» (s/\./,dc=/ s/^/cn=/ для ldap-а, керба сама умеет), «Storage for application data» (возможно это про сетевые ФС, тогда нужно таки добавить самбу|nfs|whatever).

А что там появилось нового за 8 лет?

DonkeyHot ★★★★★
(12.03.10 09:27:38 MSK)

Ссылка

Ответ на: комментарий от guyvernk 12.03.10 00:53:30 MSK

>у меня для тебя плохие новости.... AD это не samba+ldap
Мля...И где ж я это утверждал?

markevichus ★★★
(12.03.10 09:42:32 MSK) автор топика

Ссылка

А если оставить проблемы определений, то кто-нибудь знает ответ на изначально поставленный вопрос (он, кстати, не касается AD)?

markevichus ★★★
(12.03.10 09:46:40 MSK) автор топика

Ответ на: комментарий от markevichus 12.03.10 09:46:40 MSK

>кто-нибудь знает ответ на изначально поставленный вопрос

Ответ скорее всего тоже «нет». Т.е. работать будет, но samba кербой пользоваться не станет, т.е. SSO не будет. Проблема в том, что «из коробки» керба пользуетя только при «security=ADS», а убедить samba < 4й в том, что твой ldap+kerberos таки AD ещё не удавалось.

Однако, если «винда отдыхает», то можно заменить samba на что-то более родное, там может быть чуть проще. Кажется новые NFS-ы или fuse/sshfs должны справиться.

DonkeyHot ★★★★★
(12.03.10 10:15:23 MSK)

Ответ на: комментарий от DonkeyHot 12.03.10 10:15:23 MSK

Это я всё понял, пасиба. Хотелось немного другого: Я оставляю Samba PDC. Пусть остаётся как есть. Я просто хотел использовать ту БД в LDAP для хранения Kerberos-принципалов.
Т.е. Хотелос бы, чтобы к имеющимся dn uid=username,ou=Users... добавились KDC-атрибуты. Вот и всё. Авторизоваться на linux-машинах буду через нативный kerberos, никаких NT-доменов с winbind-ами.

markevichus ★★★
(12.03.10 10:22:26 MSK) автор топика

Ссылка

зачем нужен АД?

azure ★★
(12.03.10 14:57:27 MSK)

Ответ на: комментарий от azure 12.03.10 14:57:27 MSK

Да не нужен он. Хер с ним. Нужен Kerberos.

markevichus ★★★
(12.03.10 15:56:09 MSK) автор топика

Ответ на: комментарий от markevichus 12.03.10 15:56:09 MSK

Выведите меня из разморозки, пожалуйста. А то все что не читаю на тему ldap, ad, kerberos и прочих доменов - не понимаю. Нет четкого описания зачем это нужно, и как это будет работать в виндовс и линукс окружениях. Буду благодарен за линк.

azure ★★
(12.03.10 16:01:40 MSK)

Ответ на: комментарий от azure 12.03.10 16:01:40 MSK

LDAP - протокол службы каталогов («каталог», поскольку его структура напоминает иерархическую структуру файловой системы).
LDAP-сервер - сервер, который имеет за собой БД и обслуживает запросы к этой БД по протоколу LDAP. Он очень хорошо подходит для хранения информации типа учётных записей. Это лишь удобное место хранения. В сетевых взаимодействиях в домене NT он не принимает участия.

Kerberos - протокол аутентификации. Аутентификация происходит через центра выдачи билетов (KDC). Мегакрутой протокол. Пароль ни в каком виде по сети даже не ходят. Можно немного поломать мозги: http://www.ixbt.com/comm/kerberos5.shtml

Active Directory - (поправьте меня) это по сути и есть сервер каталогов с сервером аутентификации (причём, реализация Kerberos там какая-то «своя»). Только это всё как-то велосипедно, с нашлёпкой в виде NetBIOS, который служит не пойми для чего. Типа, помогает найти этот самый контроллер домена у вас в сети. Ну и ещё всякие групповые политики и прочая ерунда.

Насколько я вижу, сейчас та реализация у Samba, которая называется PDC, предоставляет следующие возможности:
- хранилище информации об учётных записях (как правило, LDAP);
- реализация протокола NetBIOS и (по-моему) NTLM для аутентификации;
- реализация протокола SMB для служебных папок, которые требуются для PDC, - это NETLOGON и PROFILE.

Т.е. Kerberos тут рядом нет.

Советую почитать:
http://samba.org/samba/docs/man/Samba-HOWTO-Collection/samba-pdc.html
Только я не понял, нафига они в этом мануале расписывают, что такое Single Sign-On и как это хорошо, в то время, когда этот самый SSO у них самих не реализован.

markevichus ★★★
(12.03.10 16:37:13 MSK) автор топика

Ответ на: комментарий от markevichus 12.03.10 16:37:13 MSK

все что начиная со слов «Active Directory» - не понятно. Кто такой сервер каталогов? Что за служба каталогов такая, зачем нужна, какую функцию выполняет? И еще я не знаю, что такое домен NT. Групповые политики - это как-то относится к линуксу или это чисто вендовое понятие?

azure ★★
(12.03.10 23:00:26 MSK)