Re: "single sign on" mit NTLM - Runde 2

To: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>
Cc: Debian Mailingliste <debian-user-german@lists.debian.org>
Subject: Re: "single sign on" mit NTLM - Runde 2
From: Bjoern Meier <bjoern.meier@googlemail.com>
Date: Sat, 21 Jan 2012 14:41:56 +0100
Message-id: <[🔎] CAGMPS57otQT3yUoUZfNZN5gAWr1sXGL=C5XKDi612=qiir6TCg@mail.gmail.com>
In-reply-to: <[🔎] 4F1A761B.5020206@gmx.de>
References: <[🔎] 4F1A761B.5020206@gmx.de>

hi,

Am 21. Januar 2012 09:23 schrieb Hans-Dietrich Kirmse <hd.kirmse@gmx.de>:
> Guten Morgen,
>
> wie angekündigt, wiedermal das alte Thema. Das Problem habe ich in der
> anderen Mail ja versucht zu verdeutlichen. Das Ziel ist erstmal nur SSO für
> Squid. Will sagen, der User meldet sich an Samba an und diese Anmeldung soll
> dann von Squid genutzt werden ohne dass die Anmeldedaten nochmals abgefragt
> werden.
>
> Ich war bisher davon ausgegangen, dass für die Umstellung von Squid auf NTLM
> das Einspielen von Winbind reichen sollte. Das Weiterreichen der Accounts
> oder gar das Generieren von UID/GID wird ja nicht gebraucht, sollte also
> einfach links liegen gelassen werden können. Diese Annahme scheint aber
> falsch gewesen zu sein.
>
> Unter https://bugzilla.samba.org/show_bug.cgi?id=7481 schreibt Volker
> Lendecke: "Winbind authenticating the local domain has never been
> supported."
>
> Er schreibt aber im gleichen Absatz auch: "With 3.6, winbind includes the
> complete passdb/samlogon magic itself, so this will become a supported
> feature." - Wir verwenden Samba von Squeeze und da liefert ein "smbd -V":
> Version 3.5.6
>
> Da ich überhaupt keinerlei Erfahrung mit Mehrserversystemen habe geschweige
> denn mit der Nutzung von winbind, würde ich erstmal versuchen wollen, 2
> Server mit Samba (und LDAP) aufzubauen, die eben dann angebunden werden
> müssen (einer als PDC und der andere holt sich von dort die Accounts). Meine
> Fragen:
> 1. Kennt da jemand dazu eine verständliche Anleitung? (ich gehe jetzt davon
> aus, dass das wohl Kerberos betrifft)
> 2. reicht es erstmal bei der Installation aus, dass die beiden Rechner
> unterschiedliche Namen und IPs bekommen oder ist da nochetwas zu beachten?

ich behaupte von mir mich ganz gut mit Samba auszukennen. Allerdings
ist mir gerade deine Umgebung noch schleiierhaft. Habe ich das richtig
verstanden, dass du eine lokale NT4 (was anderes wird ja von Samba 3
nicht geboten) domäne mit samba 3 hast und du nun eine lokale
authenzifizierung möchtest? Falls ich mich irre, erklär es mir bitte
in einer privaten Mail. Für mich jedenfalls erscheint das jedenfalls
logisch, da Winbind ja generell nur dafür gedacht war von Windows PDC
Tickets anzufordern.

Ich glaube dein Weg scheint vernünftig zu sein. Einen Samba PDC mit
LDAP Backend aufzubauen und Squid dann mit LDAP zu authentifizieren.
Allerdings nutzt Squid dann höchst wahrscheinlich nicht NTLM und
Keberos.
Mh, ich überlege gerade ich würde es komplett anders machen. Ich würde
den Samba PDC lassen wie er ist und den Proxy auf einen zweiten Server
setzen und so tun als sei der Samba PDC ein WIndows PDC (was er nach
aussen hin auch sein sollte.

Da mich das Thema interessiert biete ich dir meine Hilfe an. Wir
können uns ja über meine private EMail-Adresse darüber austauschen.

Gruß,
Björn

Reply to:

Follow-Ups:
- Re: "single sign on" mit NTLM - Runde 2
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>

References:
- "single sign on" mit NTLM - Runde 2
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>

Prev by Date: Re: Böser Patzer beim Systemwechel Thunderbird alte Mails einspielen
Next by Date: Re: Kernel-Sicherheitsupdate legt devicemapper lahm [armel]
Previous by thread: "single sign on" mit NTLM - Runde 2
Next by thread: Re: "single sign on" mit NTLM - Runde 2
Index(es):
- Date
- Thread