Re: openldap+kerberos +|- samba3(4) ?

[Владимир Скубриев <vladimir@skubriev.ru>]

On 23.04.2013 15:04, Кубашин Александр Сергеевич wrote:

Боюсь ещё больше запутать, но...

Нет-нет-нет. Я очень благодарен Вам и вообще всем, кто в том числе только читает рассылку. Я понимаю, что тема очень сложная как и вопрос. Поэтому ответов мало.

LDAP это всего лишь одно из возможных хранилищ учётных данных, которые вы вместе с привычными текстовыми файлами можете (/etc/passwd и т.д.) подключить как модуль PAM.

Знаю.

Если вы правильно подключите LDAP в систему аутентификации (PAM + NSS), то все стандартные юниксовые команды (adduser, passwd и т.д.) теоретически должны прозрачно менять учётные данные в LDAP базе. В этом случае придётся ручками в LDAP править только данные не предусмотренные стандартными утилитами (например добавить e-mail).

Согласен так должно быть. Этого добьемся. В крайнем случае user corner over https ))

Про LDAP админки:

Я долго и упорно искал хоть одну приличную админку для правки LDAP как системы хранения учётных данных и не нашёл ничего приличного... Да есть LDAP Account Maneger, но он имеет платную версию, которая содержит расширенную функциональность (читать как: стандартная версия имеет ряд искусственных ограничений), ещё есть GoSa (но это монстр, который претендует слишком на многое, чтобы быть просто системой управления учётными данными). Т.е. взглянуть на LDAP Account Maneger стоит, но ждать от него слишком много не нужно.

Жаль что LDAP Account Manager в своей бесплатной версии не поддерживает krb. С виду неплохой продукт хоть и на php. В моей ситуации надеюсь обойтись phpldapadmin, позже может быть допишу web интерфейс для стандартных операций. Тем более, что там все очень просто.

Далее про PAM и NSS.

У меня схема в которой используется именно samba, в основном, для авторизации  windows пользователей. Но в какой-то момент встала необходимость авторизовать так же пользователей Ubuntu, плюс на большинстве Unix-серверов пользователи LDAP являются системным (т.е. настроены PAM и NSS).

Схема именно от samba 3 из пакета smbldap-tools ?

Насколько я понял без это схемы windows машину не введешь в домен стандартными способами.

Кстати ведь существует способ аутентификации через клиент kerberos от MIT и не много не автоматизированную установку на windows клиентах:
http://freeipa.org/page/Implementing_FreeIPA_in_a_mixed_Environment_(Windows/Linux)_-_Step_by_step

Правда на счет перечисления пользователей я не совсем понимаю, как оно настраивается. В том плане, можно ли жить без расширения схем samba и rfc2703bis с клиентами windows и вот этой инструкцией.

Кстати rfc2703bis схему используете? Что в ней такого особенного если не секрет - в двух словах ? И можно ли её использовать в линукс окружении ?

С чем я столкнулся пока настраивал PAM на Ubuntu и Debian:

Во первых есть целых три pam-модуля, которые это позволяют: libpam-ldap (использовался до Squueze, сейчас считается устаревшим), libpam-ldapd (рекомендуется как основной pam-ldap модуль для Squueze) и pam-sss (является часть проекта FreeIPA).

Еще есть pam_krb )))

От libpam-ldap я ушёл с переходом на Squueze, согласно рекомендация дистрибутива. С libpam-ldapd у меня не получилось настроить offline-logon (актуально для ноутбуков), я пытался использовать pam_ccred, но общая схема выглядела как набор костылей и не работала на Ubuntu 12.04. При этом pam-ldapd используется на серверах до сих пор.

Все правильно что ушли. Он( libpam-ldap) мне от старого админа достался. Сейчас все делаю на libpam-ldapd и nslcd.

На счет кэша ище не дошел. Обидно что у вас не работает. Надеялся что все настроиться из коробки - без особых ухищрений через конфиги.

Изрядно помучившись с поиском работающего решения для рабочих станций я остановился на pam-sss. Он очень просто настраивается и как раз задуман для использования связки ldap и kerberos (основа FreeIPA) или для интеграции Linux в инфраструктуру AD без излишней сложности.

Может быть он того и стоит. Может на нем и остановлюсь. Но пока планировал krb,ldap в случае проблем с krb.

Не знаю как сейчас в Debian, но в Ubuntu 12.04 от FreeIPA есть следующие части: sssd -- демон и набор модулей (pam-sss + nss-sss), которые отвечают за аутентификацию, есть FreeIPA-client (по идее должен отвечать за применение политик FreeIPA), но полностью отсутствует FreeIPA-сервер. Как я понимаю, FreeIPA-сервер нормально работает только на RedHat-based. Но если идеи FreeIPA сильно понравятся, то можно и CentOS для этого развернуть, к тому же частью FreeIPA является Web-админка, если смотреть на демки, то вполне вменяемая.

Все правильно вы понимаете. Но я сделал такой вывод, что он не особо и нужен. он больше для Enterprise подходит. Но не для фирм с количеством компьютеров около 20. Тем более большей частью его функционала ни кто пользоваться не будет, кроме может быть sssd )))

Краткий итог:
1) Стоит глянуть на проект FreeIPA,  это единственное законченное решение, которое я видел для решение вашей проблемы. Если не срастётся с сервером FreeIPA, то минимум стоит глянуть на часть, которая отвечает за аутентификацию (sssd + nss-sss + pam-sss), к тому же там что-то было про ldap-sudo, если не путаю.
2) Несмотря на то что pam-sss у меня работает на раб. станциях с Ubuntu и на данный момент делает всё, что мне необходимо, смена пароля пользователя через консольный passwd у меня завершилась ошибкой, но я не пытался с этим разобраться совсем, так что думаю, это вина кривых рук :)

-- 
С уважением,
Кубашин Александр

Спасибо.

-- 
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru