Авторизация в AD через промежуточный сервер

Поставь на этом сервере TCP прокси, который будет проксировать LDAP-запросы на контроллеры AD с серверов в изолированной сети. Ну а на них уже ставь pam_ldap или всё что душе угодно, указывая тот сервер в качестве LDAP-сервера.

А в случае, если вычислительных узлов (тех машин в изолированной сети) 20, 40, 60 - разве не лучше было бы кешировать авторизацию? Так можно сделать?

Нет, LDAP нельзя. Ставишь HA-Proxy в режиме балансировки сразу на все домен-контроллеры, нагрузка будет распределяться.

pam_ldap на active_directory плохо встаёт, если в AD нет поддержки набора реквизитов под unix. Если их нет, то придётся городить велосипед.

IMHO в любом случае, лучше использовать sssd вместо pam_ldap - он умеет кэшировать реквизиты на случай недоступности LDAP-сервера, что вельми полезно.

умеет кэшировать реквизиты на случай недоступности LDAP-сервера, что вельми полезно.

Воооот. То, что и хотелось.

Но и к AD он подцепляется?

У меня он нормально с AD работает, конфиг такой:

uri ldap://127.0.0.1
ldap_version 3
base OU=Пользователи,DC=domain,DC=ru

binddn CN=service_ldap_ro,CN=Users,DC=domain,DC=ru
bindpw xxx

scope sub
timelimit 30
bind_timelimit 10
bind_policy hard

idle_timelimit 3600

pam_filter objectclass=user
pam_login_attribute sAMAccountname

pam_groupdn CN=proxy_socks_access,OU=Proxy,OU=Groups,DC=domain,DC=ru
pam_member_attribute member

а маппинги линуксовых id-шников на sid'ы где хранятся?

Нигде, я юзаю его только для авторизации в сокс-прокси.

Да, про айдишники я забыл, юникс-аттрибуты в AD таки нужны будут, но у меня в схеме они уже давно есть, не вижу проблем с их добавлением.

Sssd -да, к AD подцепляется при наличии атрибутов. А аутентификация делается через виндовый же kerberos - опять же через Sssd.

И это требует SFU на AD?

Ну, в принципе никто не мешает (наверное) запихать uid-ы и gid-ы в какие-то обычные аттрибуты в схеме AD, но это не особо красиво.

А так вроде как в AD POSIX аттрибуты идут по дефолту - посмотрел схему относительно свежего домена - там uid/gidnumber/loginShell и т.п. есть, хз достаточно ли их.

Достаточно - не суть важно, где хранить, главное, чтобы пользователи имели одинаковые айдишники на разных машинах, чтобы, примонтировав общий /home, не иметь проблем с доступом.

Значит, надо просто указать, что айдишники хранятся в AD, ок.

А можно ваш конфиг sssd? А также ссылку, где включить SFU

Неможно.

Во-первых, я аутентифицируюсь не в AD.

Во-вторых, он здесь более-менее есть: OpenLDAP + openssh (комментарий)

В-третьих, консультации я оказываю только за деньги, и помогаю советом только если мне «не влом». Но - я эту задачу решал, ничего сложного там нет - пробежаться по AD с ldapsearch, подпилить названия атрибутов - и всё заработает.

Вот кстати. Помнится, ты что-то делал насчёт сетевой интеграции виндовых и линуксовых сервисов и обещал выложить результаты, если получится что-нибудь. «Что-нибудь» получилось?

Ну, в общем-то, я получил вполне работоспособную схему в аспектах, связанных с аутентификацией и авторизацией, включая SSO: http://vikki.logotek.ru/~viking/opendirectory/

Всяческие AD-шные фишки типа group policy делали мои студенты на дипломную работу, но мы же знаем уровень проработки темы студентами, так что отдавать это в паблик я пока не стал.

Более-менее рабочий конфиг для SSSD с ActiveDirectory. sssduser - это обычный юзер, который заведён в AD. Конфиг немного отличается от «канонического», но вполне себе рабочий, всё что нужно от вендосервера - учётка юзера под SSSD и последующая корректная настройка атрибутов.

[sssd]
config_file_version = 2
services = nss, pam
domains = COMPANY

[nss]

[pam]

[domain/COMPANY]

id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
enumerate = true
min_id = 1000
max_id = 65535

ldap_tls_reqcert = never
ldap_uri = ldap://ip.of.any.dc
ldap_default_bind_dn = COMPANY\sssduser
ldap_default_authtok_type = password
ldap_default_authtok = sssduserPassword

ldap_user_search_base = cn=users,dc=company,dc=ru?subtree?(uidnumber=*)
ldap_group_search_base = cn=users,dc=company,dc=ru?subtree?(gidnumber=*)
ldap_user_home_directory = unixHomeDirectory
ldap_user_object_class = user
ldap_user_uid_number = uidNumber
ldap_user_gid_number = gidNumber
ldap_user_gecos = displayname
ldap_user_name = msSFU30Name
ldap_user_principal = msSFU30Name

ldap_schema = rfc2307
ldap_group_object_class = group
ldap_group_name = samaccountname

cache_credentials = true
krb5_server = ip.of.any.dc
krb5_kpasswd = ip.of.any.dc
krb5_realm = COMPANY.RU

всё что нужно от вендосервера - учётка юзера под SSSD и последующая корректная настройка атрибутов

ldap_user_name = msSFU30Name

Так SFU все-таки надо включать? Это штатный компонент системы, или нужно отдельно скачивать? А то в оффтопике 2008 r2 я только SUA нашел, и, судя по описанию, это что-то другое.

Так SFU все-таки надо включать?

А где ты будешь хранить посиксовые атрибуты юзера?

А маппинг сделать нельзя? Или это и есть тот самый велосипед?

А не надо никаких «маппингов». Объект должен содержать всё что необходимо, всякие «маппинги» нужны только есл искрещиваются независсимые источники. Если источники связанные, или это один источник - не трахай моск, заведи на объекте нужные реквизиты.

А при каком уровне логирования от sssd можно получить информацию о том, почему не удалось вытащить юзера? А то я узнаю об этом от pam_sss, а он причину не называет.

Не интересовался