Re: "single sign on" mit NTLM - Runde 2
Am 27.01.2012 12:26, schrieb Stefan Bauer:
Wenn du "anmelden kann" meinst, dass der Proxy-Benutzer nicht erneut
nach Kennwort gefragt wird, geht das nur über Umwege. Wenn du NTLM
nutzen willst zur Authentifizierung, brauchst du zwingend einen
Samba-Server mit Winbind auf jeder Maschine, welche die Credentials
abfragen sollen.
ja. betrifft also hier 'alix'.
Heißt, du musst den Samba-Server als Mitglied in die
Domäne fahren.
Auch das ist (theoretisch) klar.
Eigentlich nimmt man in der Praxis nur Kerberos, weil z.B. ldap_auth
nur Basic-Auth kann und somit Kennwörter im Klartext übers Netz
gehen.
das ist korrekt. Aber letztlich will ich gar nicht zwei Server, sondern
nur einen und das ist zumindest nicht der Fall, für den die
Samba-Entwickler Winbind entwickelt haben. Mir ging es ja erstmal
überhaupt einen Zugang zu winbind zu bekommen. Wenn sich alles auf einer
Maschine abspielt, dann geht auch nichts im Klartext übers Netz und das
Thema Kerberos hätte sich erledigt.
Wenn man den Fall aber beachtet, dass der Linux-Server in ein
vorhandenes Netz mit einem Windows-Server integrieren will (ein durchaus
häufiger anzutreffendes Szenario), dann ist natürlich Kerberos Pflicht.
Allerdings braucht man dann keinen Kerberos-Server aufzusetzen, sondern
dann interessiert nur der Client was aus meiner Sicht die Sache dann
wieder deutlich vereinfacht. Deshalb bin ich nicht so schnell bei der
Sache mit kerberos, weil meine zeitressourcen auch sehr begrenzt sind.
VG Hans-Dietrich
Reply to: