Re: "single sign on" mit NTLM - Runde 2

[Hans-Dietrich Kirmse <hd.kirmse@gmx.de>]

Am 27.01.2012 12:26, schrieb Stefan Bauer:

> Wenn du "anmelden kann" meinst, dass der Proxy-Benutzer nicht erneut
> nach Kennwort gefragt wird, geht das nur über Umwege. Wenn du NTLM
> nutzen willst zur Authentifizierung, brauchst du zwingend einen
> Samba-Server mit Winbind auf jeder Maschine, welche die Credentials
> abfragen sollen.

ja. betrifft also hier 'alix'.

> Heißt, du musst den Samba-Server als Mitglied in die
> Domäne fahren.

Auch das ist (theoretisch) klar.

> Eigentlich nimmt man in der Praxis nur Kerberos, weil z.B. ldap_auth
> nur Basic-Auth kann und somit Kennwörter im Klartext übers Netz
> gehen.

das ist korrekt. Aber letztlich will ich gar nicht zwei Server, sondern 
nur einen und das ist zumindest nicht der Fall, für den die 
Samba-Entwickler Winbind entwickelt haben. Mir ging es ja erstmal 
überhaupt einen Zugang zu winbind zu bekommen. Wenn sich alles auf einer 
Maschine abspielt, dann geht auch nichts im Klartext übers Netz und das 
Thema Kerberos hätte sich erledigt.

Wenn man den Fall aber beachtet, dass der Linux-Server in ein 
vorhandenes Netz mit einem Windows-Server integrieren will (ein durchaus 
häufiger anzutreffendes Szenario), dann ist natürlich Kerberos Pflicht. 
Allerdings braucht man dann keinen Kerberos-Server aufzusetzen, sondern 
dann interessiert nur der Client was aus meiner Sicht die Sache dann 
wieder deutlich vereinfacht. Deshalb bin ich nicht so schnell bei der 
Sache mit kerberos, weil meine zeitressourcen auch sehr begrenzt sind.

VG Hans-Dietrich