On 08/22/11 19:14, Ivan Shmakov wrote:
> другой вопрос - windows-компьютеры есть? как происходит авторизация
> пользователей на них?
Строго говоря, есть, но они находятся не под моим управлением и
вне данного домена. (Находятся в ведении другого отдела.)
В данном случае, пожалуй, имело бы смысл настроить Federated
identity management между доменами, но…
не очень понял, что имелось в виду ;)
опишу задачу, как я её сейчас вижу:
есть смешанная сеть (linux/windows), несколько терминал-серверов на
windows, файл-сервер (samba).
предположим есть у нас kerberos (heimdal), каталог ldap с пользователями
и группами (openldap).
нужно, чтобы при авторизации на windows шла авторизация
(аутентификация?) в kerberos, а членство в группах бралось из ldap.
ну и плюс cifs-шары, где должны работать acl с группами из ldap.
как это можно сделать?
варианты, которые я сейчас вижу:
1. аутентификация с windows-компьютеров напрямую в kerberos.
как я понял, этот вариант реален, но ldap "подцепить" не получится -
информацию о членстве в группах взять неткуда.
2. DC на samba3.
связать его с ldap не проблема, однако samba3 в этом случае использует
NTLM-аутентификацию, что требует помещения некриптостойких хешей паролей
в LDAP.
3. AD.
малознакомая ОС, небесплатная...
но в данном случае возможно её применение оправдано.
4. samba4.
альфа, увы...
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4e5283a9.2010...@yandex.ru
