|
22.04.2013 18:10, Владимир Скубриев
пишет:
Планирую использовать в локальной сети openldap + kerberos.Боюсь ещё больше запутать, но... LDAP это всего лишь одно из возможных хранилищ учётных данных, которые вы вместе с привычными текстовыми файлами можете (/etc/passwd и т.д.) подключить как модуль PAM. Если вы правильно подключите LDAP в систему аутентификации (PAM + NSS), то все стандартные юниксовые команды (adduser, passwd и т.д.) теоретически должны прозрачно менять учётные данные в LDAP базе. В этом случае придётся ручками в LDAP править только данные не предусмотренные стандартными утилитами (например добавить e-mail). Про LDAP админки: Я долго и упорно искал хоть одну приличную админку для правки LDAP как системы хранения учётных данных и не нашёл ничего приличного... Да есть LDAP Account Maneger, но он имеет платную версию, которая содержит расширенную функциональность (читать как: стандартная версия имеет ряд искусственных ограничений), ещё есть GoSa (но это монстр, который претендует слишком на многое, чтобы быть просто системой управления учётными данными). Т.е. взглянуть на LDAP Account Maneger стоит, но ждать от него слишком много не нужно. Далее про PAM и NSS. У меня схема в которой используется именно samba, в основном, для авторизации windows пользователей. Но в какой-то момент встала необходимость авторизовать так же пользователей Ubuntu, плюс на большинстве Unix-серверов пользователи LDAP являются системным (т.е. настроены PAM и NSS). С чем я столкнулся пока настраивал PAM на Ubuntu и Debian: Во первых есть целых три pam-модуля, которые это позволяют: libpam-ldap (использовался до Squueze, сейчас считается устаревшим), libpam-ldapd (рекомендуется как основной pam-ldap модуль для Squueze) и pam-sss (является часть проекта FreeIPA). От libpam-ldap я ушёл с переходом на Squueze, согласно рекомендация дистрибутива. С libpam-ldapd у меня не получилось настроить offline-logon (актуально для ноутбуков), я пытался использовать pam_ccred, но общая схема выглядела как набор костылей и не работала на Ubuntu 12.04. При этом pam-ldapd используется на серверах до сих пор. Изрядно помучившись с поиском работающего решения для рабочих станций я остановился на pam-sss. Он очень просто настраивается и как раз задуман для использования связки ldap и kerberos (основа FreeIPA) или для интеграции Linux в инфраструктуру AD без излишней сложности. Не знаю как сейчас в Debian, но в Ubuntu 12.04 от FreeIPA есть следующие части: sssd -- демон и набор модулей (pam-sss + nss-sss), которые отвечают за аутентификацию, есть FreeIPA-client (по идее должен отвечать за применение политик FreeIPA), но полностью отсутствует FreeIPA-сервер. Как я понимаю, FreeIPA-сервер нормально работает только на RedHat-based. Но если идеи FreeIPA сильно понравятся, то можно и CentOS для этого развернуть, к тому же частью FreeIPA является Web-админка, если смотреть на демки, то вполне вменяемая. Краткий итог: 1) Стоит глянуть на проект FreeIPA, это единственное законченное решение, которое я видел для решение вашей проблемы. Если не срастётся с сервером FreeIPA, то минимум стоит глянуть на часть, которая отвечает за аутентификацию (sssd + nss-sss + pam-sss), к тому же там что-то было про ldap-sudo, если не путаю. 2) Несмотря на то что pam-sss у меня работает на раб. станциях с Ubuntu и на данный момент делает всё, что мне необходимо, смена пароля пользователя через консольный passwd у меня завершилась ошибкой, но я не пытался с этим разобраться совсем, так что думаю, это вина кривых рук :) -- С уважением, Кубашин Александр |