|
23.04.2013 15:33, Владимир Скубриев
пишет:
Схема именно от samba 3 из пакета smbldap-tools ?Я долго и упорно пытался понять как можно ввести Windows машину в Kerberos домен на Linux... Из того, что я понял: 1) Windows машина не должна быть в домене (только рабочая группа). 2) Каждому Kerberos пользователю, который должен аутентифицироваться на конкретной windows-машине нужно создать ЛОКАЛЬНУЮ учётку, совпадающую с учёткой в Kerberos. Т.е. если пользователь есть в Kerberos, но не создан локально, то он не сможет залогиниться на компьютере. 3) Выполнить ряд простых операций на клиенте. IMHO, из-за второго пункта эта схема практически бессмысленна. Кстати rfc2703bis схему используете? Что в ней такого особенного если не секрет - в двух словах ? И можно ли её использовать в линукс окружении ?Как то в моей голове сложилась чёткая связь, что возможность использовать "memberOf" добавляется через rfc2703bis. Возможно ложная, т.к. до сих пор с этим не столкнулся. Все правильно что ушли. Он( libpam-ldap) мне от старого админа достался. Сейчас все делаю на libpam-ldapd и nslcd.Насколько помню, то для работы pam_ccred нужен скрипт для синхронизации учётных пользователей, который запускается через CRON. Я считаю такую схему неприемлемой и даже если бы оно заработало, то вариант с sssd мне нравится гораздо больше. Точно стоит :)Изрядно помучившись с поиском работающего решения для рабочих станций я остановился на pam-sss. Он очень просто настраивается и как раз задуман для использования связки ldap и kerberos (основа FreeIPA) или для интеграции Linux в инфраструктуру AD без излишней сложности.Может быть он того и стоит. Может на нем и остановлюсь. Но пока планировал krb,ldap в случае проблем с krb. Просто критической массы документации не накопилось, чтобы этот вариант находился с такой же лёгкостью как тот-же pam-ldap. -- С уважением, Кубашин Александр |