Re: альтернативы LDAP
On 08/22/11 19:14, Ivan Shmakov wrote:
> другой вопрос - windows-компьютеры есть? как происходит авторизация
> пользователей на них?
Строго говоря, есть, но они находятся не под моим управлением и
вне данного домена. (Находятся в ведении другого отдела.)
В данном случае, пожалуй, имело бы смысл настроить Federated
identity management между доменами, но…
не очень понял, что имелось в виду ;)
опишу задачу, как я её сейчас вижу:
есть смешанная сеть (linux/windows), несколько терминал-серверов на
windows, файл-сервер (samba).
предположим есть у нас kerberos (heimdal), каталог ldap с пользователями
и группами (openldap).
нужно, чтобы при авторизации на windows шла авторизация
(аутентификация?) в kerberos, а членство в группах бралось из ldap.
ну и плюс cifs-шары, где должны работать acl с группами из ldap.
как это можно сделать?
варианты, которые я сейчас вижу:
1. аутентификация с windows-компьютеров напрямую в kerberos.
как я понял, этот вариант реален, но ldap "подцепить" не получится -
информацию о членстве в группах взять неткуда.
2. DC на samba3.
связать его с ldap не проблема, однако samba3 в этом случае использует
NTLM-аутентификацию, что требует помещения некриптостойких хешей паролей
в LDAP.
3. AD.
малознакомая ОС, небесплатная...
но в данном случае возможно её применение оправдано.
4. samba4.
альфа, увы...
Reply to: